NUEVA UTILIDAD SREGEDIT DE SATINFO PARA EDITAR REGISTRO DE DISCOS DUROS ESCLAVOS

Dado que hemos tenido experiencias con algun malware (por ejemplo una de las variantes del ransomware de “la policia”, que controlamos en el ELISTARA como WINLOCK), con el que aparece una pantalla que bloquea cualquier ejecución posterior, incluso a través del TASKMANAGER, impidiendo  arrancar EN MODO SEGURO para evitar la carga del malware en el inicio, hemos visto que la solución estriba en poder analizar el registro de sistema del disco duro infectado, colocado como esclavo, lo cual no es posible normalmente con el REGEDIT debido a que el registro que se mira es el del disco de arranque, no el del esclavo, siendo el arrancar desde LIVE CD u otro HDD MASTER, la alternativa que tenemos para poder acceder a todo el disco duro infectado.

Por ello, en SATINFO, hemos desarrollado una aplicación con la que aprovechar el mismo REGEDIT del sistema para editar los ficheros de registro de otro disco durpo que no sea el de arranque, bien directamente o a través de acceso remoto, o de los ficheros del registro de dicho disco duro, que se hayan copiado a otro soporte, pendrive o similar, o que se haya enviado por mail, si bien pueden ser de varios MB, por lo que este último puede ser el sistema menos aconsejable.

Pero el caso es que a partir de ahora podemos disponer de la utilidad SREGEDIT:EXE para editar el registro de discos duros no activos (no el de arranque, para el cual ya sirve el REGSIT normal), y poder asi ver el contenido de las claves, lo que lanzan y poder obrar en consecuencia, añadiendo .VIR a ficheros sospechosos que sean ejecutados en cada reinicio, o incluso modificar dicho registro si se esta editando directamente el de un disco duro esclavo.

Dicha nueva utilidad SREGEDIT.EXE ofrece escoger el fichero a editar, entre:
NTUSER.DAT  (HKUS del Usuario, ubicado en la carpeta de cada usuario : Documents and Settings\<user>)
SOFTWARE    (HKLM/Software,  ubicado en %WinSys%\Config)
SYSTEM      (HKLM/System,    ubicado en %WinSys%\Config)

Con ello se generará una nueva clave FICHERO REG en HKEY USERS  , con todo el contenido del fichero abierto, que es donde poder ver el registro esclavo y modificarlo

Por supuesto que para ello debe tenerse experiencia en el manejo del REGEDIT de Windows, y conocimientos tecnicos suficientes para obrar en consecuencia, avisando que cualquier modificacion improcedente puede conllevar la pérdida de arranque o incluso de acceso al disco duro manipulado, por lo cual debe limitarse el uso de esta utilidad a profesionales con suficientes conocimientos del sistema y del REGEDIT del mismo.

ESPECIALMENTE EN ESTE CASO SATINFO AVISA QUE QUEDA EXIMIDA DE CUALQUIER RESPONSABILIDAD POR LOS PERJUICIOS QUE SU USO PUDIERA OCASIONAR, Y EN CUALQUIER CASO ES RESPONSABILIDAD DEL USUARIO EL UTILIZARLA, RECOMENDANDO SOLO USARLA PROFESIONALES CON EXPERIENCIA

Para descargar SREGEDIT: http://www.satinfo.es/db/antivirus/utilitats/sregedit.exe
saludos

ms, 23-3-2012