Translate

25 dic 2014

Quitando websites basura del navegador

Son muchas las veces, sobre todo para los usuarios de sistemas de Microsoft (aka Windows), donde algún virus se nos cuela y nos hace la vida imposible modificando la página web que nos sale por defecto en el navegador. Para remediar esto, lo que hace la mayoría de la gente que no tiene mucha idea es: o bien reinstalar el navegador o utilizar otro.

No obstante voy a explicar una nueva forma (de nueva no tiene mucho, pero para los usuarios de a pie muy posiblemente sí), que considero personalmente sencilla si se siguen los pasos que voy a dar. En este caso tocamos directamente el registro y modificamos la página web que sale por defecto. El registro del sistema es como una base de datos gigante donde se almacena absolutamente todo (tanto acerca del usuario, como de las aplicaciones, como del fondo de pantalla del Escritorio), es por así decirlo el núcleo del sistema operativo, pues la mayoría de los virus lo que se dedican es a contaminar el registro con basura, provocando estragos en el equipo. Y esto es lo que vamos a intentar solventar para el caso de los navegadores.

Esta técnica funciona para sistemas operativos que cuenten con PowerShell, es decir, de Windows 7 en adelante (tengo entendido también que XP lo soporta, pero no tengo ningún XP a mano para comprobarlo y en caso de no traerlo, habría que instalarlo), y nos ayudará a eliminar estos virus en caso de que, aun reiniciando, desinstalando o modificando las configuraciones del navegador, la web que sale por defecto siga ahí. Al nosotros editar el registro manualmente, forzamos a que se cambie esa web basura que solo busca visitas y lo único que ofrece es spam, aunque también nos puede ayudar a comprender mejor la estructura que tiene un navegador para ir o no a una página web (estructura que luego podemos modificar con un script, o gráficamente con las opciones que trae).

Así pues, abrimos el editor ISE de PowerShell de nuestro sistema operativo, para ello presionamos la tecla Windows+C y buscamos, como es evidente, PowerShell ISE (y alguna aplicación que se llame así debería salir por ahí). Es imprescindible hacer click derecho sobre ella para ejecutarla con permisos de administración (y en caso de no poder usar estos permisos, póngase en contacto con el propietario del equipo en cuestión o el administrador de sistemas correspondiente (?)). Antes de continuar con esto, recomendaría a los lectores que no tengan mucha idea que se pasasen por esta entrada de mi blog, donde explico los conceptos de árboles y cómo movernos por consola internamente en nuestro sistema.

Ahora bien, una vez tengamos abierto el editor con permisos elevados tendremos que movernos a lo que se denominan como Drives, que bien son hklm(HKEY_LOCAL_MACHINE) y hkcu(HKEY_CURRENT_USER). El primero nos dará todas las propiedades del equipo, y muy posiblemente aun con estos permisos no podamos acceder a todo su contenido. Respecto al segundo, que es el que vamos a tratar, contiene toda la configuración de nuestro usuario actual, es decir, de nuestro usuario y de todas las aplicaciones y configuraciones que tengamos junto a él (porque al crear un nuevo usuario, no tenemos el mismo fondo de Escritorio, ¿verdad? Pues esto se aplica al resto de aplicaciones, valga la redundancia).

Para movernos al Drive de nuestro usuario actual, lanzamos lo siguiente desde el editor (podemos presionar Ctrl+R para que la pantallita azul se expanda, que es lo ideal para que sea más cómodo):


Nos movemos al registro de nuestro usuario actual haciendo algo tan fácil como eso. Ya no nos encontramos en el disco C, sino en el registro del sistema. Pero claro, ¿dónde podemos encontrar las configuraciones de los navegadores? Pues cada uno de ellos tiene su ruta, y podemos ver qué opciones tenemos con el siguiente comando, para decidir a dónde movernos dentro del árbol del registro:


Ignorando lo que el comando pueda significar (no pretendo que esto sea una clase de PowerShell ni mucho menos), podemos ver que tenemos cosas como las impresoras, el panel de control, y Software; estas cosas se denominan claves del registro, y cada una tiene propiedades y más claves internas que son las que almacenan la configuración. La idea en nuestro caso es ir a la última mencionada, a software.



Y entre toda esa maraña de claves tenemos la más importante y a la que accederemos (la última), que será Microsoft. Dentro ya de Microsoft, seguimos la siguiente ruta para alcanzar la configuración del navegador:


Si volvemos a lanzar un Get-ChildItem para ver las claves del navegador IE nos daremos cuenta de que hay una llamada Main, esta es la que contiene la página web por defecto (pero no la contiene como una clave, sino como una propiedad). Podemos ver las propiedades del IE de la siguiente forma:


No es muy difícil identificar ahora qué propiedades han sido infectadas por el virus o no. En mi caso, las propiedades son las que tienen el valor más largo (los enlaces gigantes esos). Para remediarlo, simplemente las editamos y ponemos la página web que más nos guste:


Si ahora abrimos el Internet Explorer tal cual, nos podrá seguir saliendo la página de spam aunque podamos ver en la configuración que se nos ha asignado la de google, ¿y por qué pasa esto? Porque el registro no se ha actualizado. Debemos reiniciar el equipo para poder ver los cambios.

Tenemos también otra opción para editar el registro gráficamente, para ello presionamos Windows+R y escribimos regedit. De esta forma estaremos abriendo el registro de forma gráfica. Si una vez dentro queremos buscar dónde se encuentra la clave del registro que ha sido infectada por el virus, simplemente vamos a la pestaña Edición y en Buscar insertamos el nombre de la página web (por ejemplo www.webBasura.com). El registro encontrará alguna clave que tenga alguna propiedad con este valor, y efectivamente nos indicará la ruta completa. Gracias a esto bien podemos editarlo de forma gráfica o por comandos, con el editor ISE. Yo lo haré con comandos, que me resulta más amigable después de todo, no me vaya a equivocar pinchando donde no debo:


Esa sería la ruta de forma gráfica, ¿y por línea de comandos? Pues así:


Localizada la propiedad a eliminar, modificamos su valor por el que debería tener por defecto:


De esta forma ya tenemos, por ejemplo la clave del registro del Chrome editada a nuestra manera. La idea de esto es buscar constantemente por la web basura e ir modificando todas las claves del registro que la tengan, tanto de HKEY_LOCAL_MACHINE como de HKEY_CURRENT_USER.

Pero todo esto ha funcionado en principio para Internet Explorer, un navegador que casi nadie usa hoy en día, o el Chrome. ¿Qué pasa con otros navegadores como Mozilla Firefox? Pues bien podemos buscar sus rutas (cosa más complicada, pues están en otra ubicación totalmente distinta y es cuestión de buscar por el registro, y el Google Chrome carece de bastantes herramientas que no tiene el Mozilla o el IE para solventar estas cosas), o acceder a la configuración del propio navegador:



Todo esto parte de la opción de Configuración comentada al principio. Podemos ir a Extensiones y borrar aquellas que consideremos que son basura o se nos han colado, también podemos entrar a Establecer un conjunto de páginas para indicar qué páginas queremos que se nos abran cuando iniciemos el navegador. Es importante tener en cuenta, si recordamos las claves del registro que tenía el Internet Explorer, que el navegador fue infectado en distintas propiedades (como Search Page, Start Page, etc). Todo esto lo debemos modificar, por lo que cambiando las páginas de inicio no servirá de nada (cosa que me he encontrado por ahí). Tenemos que editar también los motores de búsqueda:


El Mozilla Firefox debería tener unas opciones similares al Chrome, por lo que no lo voy a tocar. Pero sí me gustaría aclarar antes de terminar que, si el problema de la web basura persiste, quizás es que se nos ha instalado algún malware en el equipo, y para ver si tenemos algo instalado que se denomine como la página de spam debemos entrar en el Panel de Control:


En la opción de Desinstalar un programa tendremos una lista de todos los programas del equipo, y si hay alguno que se llame "WebBasura" cuando la página de spam es "WebBasura.com", pues es suficiente con eliminar el programa del ordenador (me he visto casos así también x_D).

Otras medidas que podrían funcionar es, por ejemplo, yendo a las propiedades del navegador y buscar si la web de spam todavía persiste dentro:


O sencillamente intentando bloquear el tráfico a dicha página utilizando el fichero de texto hosts, ubicado en Windows en: C:\Windows\System32\Drivers\etc\hosts; este archivo lo deberemos editar con el bloc de notas teniendo permisos de administración, y sería suficiente con localizar la siguiente sección para añadir la última línea (donde sale www.WebBasura.com):


La dirección IPv4 127.0.0.1 se refiere a nuestro equipo, es decir, que cuando escribamos en el navegador la página www.WebBasura.com la intentará buscar en nuestro ordenador en lugar de salir a Internet, y de esta forma no se tendría acceso a la misma. Recordar que no hay que tocar nada más de este archivo (ni cabe mencionar que está prohibido eliminarlo), pues es un fichero importante del sistema y podría dar a futuros problemas si no se encuentra. En sistemas Linux (Ubuntu), suele estar ubicado en: /etc/hosts.

Para Google Chrome, además, me he dado cuenta a última hora de que se puede hacer también un pequeño copypaste en sus archivos de configuración principal, siguiendo esta ruta en nuestro Explorador de Windows (en nuestras carpetas, vamos):

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default

En esa ubicación tenemos dos ficheros: Preferences y Web Data. La idea aquí es cambiarle el nombre por Preferences.old y Web Data.old.

Puede haber muchos métodos más, por supuesto, pero espero que esto al menos ayude a alguien a salir de algún apuro. Un saludito.

No hay comentarios: