MCShield ::Anti–Malware Tool:: v2 MCShield es una herramienta antimalware diseñada para prevenir las infecciones de transmisión a través de unidades de discos extraíbles como memorias USB, tarjetas de memoria (Cámaras, teléfonos, dispositivos GPS... ), y discos duros externos). Caracteristícas del programa: un modo automático que hace posible el uso de este software para todo el mundo independientemente de su sistema operativo y el conocimiento que tenga relacionados con malware; detección automática de los discos que se conecten y escaneo automatic; escaneo ultra rápido de la raíz del sistema y algunas carpetas especiales en los discos duros del ordenador y un escaneado de adaptación de las unidades extraíbles; las firmas y actualizaciones del programa utilizan una herramienta de actualización integrada; el impacto en el rendimiento del sistema es completamente mínimo; funcionalidad óptima sin ningún tipo de ajuste adicional; posibilidad de modificar el comportamiento de los programas de acuerdo a las necesidades específicas de los usuarios; creación de copias de respaldo de todo lo que el programa detecta y/o elimina; estadísticas globales en tiempo real; completamente gratis… La mayor parte de las detecciones de MCShield se basa en rutinas genéricas diseñadas para la detección de ciertas familias prevalentes de gusanos y análisis heurístico del contenido del disco. El nivel de detección, además, es mejorado a través de firmas matemáticas y unas bases de datos de archivos maliciosos conocidos y nombres de carpetas. Uso de la seguridad y la prevención de falsas detecciones se lleva a cabo mediante la verificación de la legitimidad de múltiples archivos realizados dentro de las rutinas de detección y, además, por las referencias cruzadas con los resultados del análisis de la base de datos de archivos legítimos. Para garantizar el nivel de protección óptimo sin disminución de la funcionalidad, MCShield permite a sus usuarios añadir sus propios archivos a una lista blanca – Archivos de esta lista nunca serán detectados sin importar cuán sospechoso el programa podría considerarlas. Principales componentes del programa Monitor en tiempo–real – se encarga de la supervisión en segundo plano y la detección de los nuevos discos conectados. Cuando un nuevo disco es detectado, El Monitor pondrá en marcha el analizador de disco para una exploración de este. El icono del Monitor aparece en la barra de tareas ( Bandeja del sistema ). Click derecho al icono para acceder al menú y varias opciones: Centro de control – abre el Centro de Control Detener el análisis – detiene el análisis en curso (disponible solamente si el analizador esta activo) Inhabilitar/habilitar protección – desactiva o activa la protección Modo de juego – inhabilita notificaciones del Monitor Actualizar – realiza la actualización Salir – cierra el Monitor y desactiva la protección Doble click izquierdo el icono de la barra de tareas abre el Centro de control. Analizador de disco – es el responsable de escanear los nuevos discos. El icono en la barra de tareas girara para dejarte saber que está haciendo un análisis. Si el análisis toma más de 10 segundos, el analizador puede proveer notificaciones adicionales en la barra de tareas. Cuando el análisis termina, MCShield te informara que ninguna infección fue detectada (si el disco está limpio) o proveerá un reporte con las acciones tomadas en caso de que encontrara alguna infección. Centro de control – da la capacidad de escoger lenguaje, ajustar la configuración, acceso a la lista blanca y a la cuarentena. También provee estadísticas e información del programa. Pestaña General: Lenguaje – selección de idiomas Ejecutar MCShield cuando Windows inicie – inicia MCShield con Windows ( recomendado ) Permite funciones en las nubes de MCS – habilita estadísticas y reportes (ver: en las nubes MCS ) No mostrar notificaciones si la unidad está limpia – desactiva las notificaciones de las unidades analizadas que estén limpias No mostrar notificaciones si la unidad está infectada – desactiva las notificaciones de las unidades analizadas que estén infectadas Siempre muestra el reporte en caso de infección – si alguna infección es detectada, muestra el reporte directamente No mostrar notificación inicial – inhabilita notificaciones que muestran cuando MCShield inicia No mostrar notificaciones durante el análisis – inhabilita notificaciones que puedan aparecer durante el análisis No mostrar los reportes – desactivar avisos si quieres ver el reporte o no Por defecto – seleccione la configuración predeterminada Pestaña de Analizar: Analizar todo cuando MCShield inicie: Las unidades USB y tarjetas de memoria – permite exploración inicial de todas las unidades de memoria Unidades de disco duro – permite exploración inicial de todos los discos duros Realizar Análisis completo de firmas... – permite analizar firmas de todos los archivos en la unidad ( De otro modo analiza los archivos de raíz de la unidad ) Pero solo en caso de infección – permite análisis de firmas de la unidad pero solo si ya se haya encontrado infecciones anteriormente Activar el extendido heurístico – habilita la característica más poderosa de la unidad del escáner ( Altamente recomendado ) Siempre mostrar todo en discos removibles – hace que archivos y carpetas ocultos se muestren (normalmente no es necesario, MCShield lo hará automáticamente si detecta una infección específica) Eliminar todos los archivos sospechosos – elimina los archivos sospechosos (normalmente solo les cambia el nombre ) Activar modo paranoico – instruye al analizador de disco que sea extremadamente agresivo para cualquier código ejecutable que detecte (use con cuidado y solo si sospecha de una infección, o no le importa que se detecten algunos falsos/positivos) No usar cuarentena – inhabilita la cuarentena (no recomendable) Por defecto – selecciona las opciones predeterminadas para esta sección Mas rápido – selecciona la opción mas rápida de análisis (nota: puede disminuir la tasa de detección) Impenetrable – selecciona la mayor protección posible (normalmente no recomendado porque el análisis toma más tiempo y falsos/positivos pueden ocurrir más a menudo) Pestaña de Actualización: Activar actualización automática – permite las actualizaciones automáticamente (recomendado. Nota; El Monitor en tiempo–real tiene que estar activo para que esto funcione ) Actualización cada ( Hora ) – configura el intervalo de las actualizaciones automáticas Notificarme cuando se instala una nueva base de datos – muestra una notificación cuando la base de datos es actualizada Usar proxy – instruye al programa para usar el servidor proxy para realizar actualizaciones Dirección del proxy – dirección del servidor proxy empleado Puerto proxy – puerto empleado Usuario – nombre para utilizar cuando se trabaja con el servidor proxy Clave – clave para utilizar cuando se trabaja con el servidor proxy Actualizar – buscas por nuevas actualizaciones Pestaña de Cuarentena: Lista los archivos y/o carpetas en cuarentena. Click derecho a cualquiera y selecciona otra opción para ejecutar. Renovar – refresca la lista; Restaurar – restaura o repone el archivo a su puesto original Eliminar – elimina o borra completamente el archivo Eliminar todo – vacía o elimina todos los archivos en cuarentena Pestaña de la Lista Blanca: Lista los archivos/carpetas que MCShield debe de ignorar. Click derecho para seleccionar otras opciones. Añade un elemento – escoja esto para añadir un nuevo archivo/carpeta a a la lista Elimine un elemento – elimine el archivo/carpeta de la lista Elimine todo – vacía borra toda la lista Pestaña de Estadísticas: El lado izquierdo muestra las versiones de todos los componentes y basa de datos. El lado derecho muestra las estadísticas. Elementos tratados ( Localmente/globalmente ) – muestra el número de elementos que MCShield ha analizado hasta el momento: Localmente – en el ordenador local ( cuenta del usuario local ). Esta estadística siempre está disponible Globalmente – en todos los ordenadores que MCShield está protegiendo. Esta estadística está disponible si el servicio en las nubes de MCS esta ejecutándose Número de instalaciones ( para la v. 2.x ) Ver. actual – numero de instalaciones de la versión del programa que has hecho 2.x – total de las instalaciones (por cualquier versión que empiece por 2). Estas estadísticas están disponibles solo si el servicio en las nubes de MCS está activo Pestaña acerca de MCShield: Provee información de los desarrolladores y diseñadores de MCShield. Enlaces a la página web. Soporte y E–Mail. Créditos. Botones en todas las Pestañas: OK – guarda las configuraciones y cierra las ventanas Aplicar – guarda la configuración. Cancelar – cancela los cambios y cierra las ventanas. MCS en la nube Esta función se controla mediante la opción "Habilitar funciones MCS en las nube" y puede desactivarse si así se desea. Si la opción está activada, el programa pondrá en contacto con nuestro servidor cada vez que se abre la pestaña de Estadísticas del Centro de control y hace lo siguiente: recibí el número de instalaciones y elementos tratados (y mostrar las estadísticas) manda el número de elementos tratados en el ordenador (solamente el numero. Nada más) manda un archivo que contiene los valores hash MD5 de los archivos que se detectaron como sospechosos durante las exploraciones anteriores (el archivo contiene sólo hashes MD5, nada más. Nota: Ningún otro archivo es mandado) Todas estas funciones tienen el propósito de ofrecer una mejor experiencia al usuario y que nos ayude a reaccionar rápidamente a los posibles falsos positivos o para alertarnos de nuevos malware. Por favor, tenga en cuenta estos hechos antes de desactivar estas funciones. Nota: En ningún momento recibimos archivos personales o información personal guardada en el ordenador. Su privacidad está plenamente respetada y garantizada. Si tiene alguna duda o necesita alguna aclaración adicional relativa a esta característica, desactívela, y envíenos un correo electrónico y haremos nuestro mejor esfuerzo para responder a todas sus preguntas. Otros componentes y acceso a internet Aparte del Monitor en Tiempo–real (MCShieldRTM.exe), Centro de Control (MCShieldCC.exe), y Analizador de Disco (MCShieldDS.exe), MCShield usa otros archivos. MCProcess.dll (Dynamic link library) es un componente dinámico usado por el Analizador de Disco. Provee algunas funciones internas del analizador. También hay otros archivos; Traducción de idiomas, base de datos, reportes de análisis, des instalador, archivos temporales que son usados durante los análisis o actualizaciones. Componentes que pueden ser usados por tu conexión a Internet: Centro de control (MCShieldCC, cuando una actualización manual es requerida cuando se abre la pestaña de estadísticas) Monitor en Tiempo–real (MCShieldRTM, cuando una actualización manual es requerida usando el menú del icono de la bandeja de trabajo o durante las actualizaciones automáticas). Cómo Funciona MCShield ? Basado en opción predeterminada. Cuando el Monitor de tiempo–Real se está funcionando, se ejecuta el Analizador de Discos y le instruye un análisis inicial de todas las particiones de todos los discos duros ( HDD ) y removibles ( USB, tarjetas, y HDD externos ) conectados al ordenador. Floppies y discos ópticos no son analizados . El Programa analiza: Discos duros fijos: carpetas/directorio de raíz por la presencia de conocidos archivos/carpetas que son maliciosos. También analizara otros archivos comunes específicos. MCShield no analiza carpetas del sistema como Documents and Settings, Archivos de programas, users, datos de Programa, etc. Ni tampoco eliminara archivo alguno de esas carpetas. Discos Removibles: carpetas/directorio de raíz por la presencia de conocidos archivos/carpetas que son malos. Ejecutara análisis genéricos adaptivos, varios análisis genéricos/heurísticos que dependerán del nivel y tipo de infección en el disco. Si es necesario, MCShield, reajustara los atributos de los archivos y carpetas modificados por la infección para tener un mejor acceso a ellos. El tiempo de análisis en discos fijos es de 1–2 seg/disco. Esto puede durar algunos segundos más en caso de infección. El tiempo de análisis en disco/memoria removible depende de el numero de archivos que contenga, y más si está infectado ( análisis de adaptación – El disco/memoria que contengan al menos un archivo/carpeta malicioso será analizado en más detalle que uno limpio ). El análisis toma de 2–3 seg. en muchos casos, pero el análisis puede tomar algunos minutos en caso de estar infectado y contenga una gran cantidad de archivos ( 5.000 – 10.000 o más ). Si no se ha encontrado malware en el análisis, una notificación aparecerá " El análisis inicial ha terminado " y MCShield continuara supervisando conexiones de nuevos discos y memorias. Si se encuentra algún malware en el análisis, una alerta avisara que el archivo de reporte aparecerá. " El archivo reporte abrirá automáticamente en 5 segundos ". Después que el análisis se ha iniciado y terminado, MCShield esperara silenciosamente hasta que un nuevo disco/memoria sea conectado. Si esto sucede, el procedimiento descrito arriba, se iniciara nuevamente. Modo de eliminación automática MCShield reacciona automáticamente a las infecciones que detecte – Pondrá en cuarentena cualquier archivo/carpeta malicioso y renombrara el archivo sospechoso con la extensión .vir. Reportes de análisis Hay tres reportes análisis que se pueden abrir usando el menú de inicio. MCShield > Reportes. Ultimo análisis – Reporte contiene información del último análisis ejecutado. Todos los Análisis – Reporte contiene información de todos los análisis ejecutados. Resumen – El reporte contiene un resumen de todos los análisis. Ejemplos de reportes de análisis Un reporte típico de Disco/memoria limpio. ( El reporte normalmente no abre ): 6.2.2012 16:50:51 > Disco J: – inicio del scan (no label ~15251 MB, FAT32 memoria flash )... => La unidad está limpia. Fecha – Información de disco/memoria – y resultado Otro reporte típico de un disco limpio que contiene un archivo autorun legítimo: 26.2.2012 21:44:57 > Disco J: – inicio del scan (no label ~15251 MB, FAT32 memoria flash )... >>> J:\autorun.inf > Archivo legitimo. => La unidad está limpia. MCShield determino que el archivo autorun es legitimo y lo ignora. ( Normalmente estos reportes no abren ). Disco/memoria infectado: 25.2.2012 10:58:01 > Disco J: – inicio del scan (no label ~15251 MB, FAT32 memoria flash )... >>> J:\autorun.inf > Sospechoso > Renombrado. => Archivos sospechosos : 1/1 renombrado. ____________________________________________ ::::: Tiempo del scan: 5s ::::::::::::::::::: ____________________________________________ Un archivo autorun sospechoso fue encontrado y renombrado a "autorun.inf.vir" Otro Disco/memoria infectado: 23.2.2012 23:31:49 > Disco J: – inicio del scan (no label ~15251 MB, FAT32 memoria flash )... >>> J:\rar.exe – Malware > Eliminado. (12.02.23. 23.32 rar.exe.349163; MD5: 8e3ab02406a24c50cc4626a1f8533cc1) >>> J:\Password.txt.exe – Malware > Eliminado. (12.02.23. 23.32 Password.txt.exe.735145; MD5: d2542afa881146780e584b9bfa3d0f92) >>> J:\365345.exe – Malware > Eliminado. (12.02.23. 23.32 365345.exe.108358; MD5: fa8fee025d2f4c820c4b56792747cfad) >>> J:\auto.exe – Malware > Eliminado. (12.02.23. 23.32 auto.exe.890850; MD5: 4cd0bc16a987fa28a4f7d77581a42094) >>> J:\februar.exe – Malware > Eliminado. (12.02.23. 23.32 februar.exe.423332; MD5: 9a4cb98706ebbf5314e907d7ad927fd1) >>> J:\x.exe – Malware > Eliminado. (12.02.23. 23.32 x.exe.600748; MD5: a584f275a6929bc7980c513b04b2d33c) => Archivos maliciosos: 6/6 Eliminados. ____________________________________________ ::::: Tiempo del scan: 8s ::::::::::::::::::: ____________________________________________ Esta memoria estaba muy infectada – seis archivos fueron eliminados y mandados a cuarentena. Los nombres de los archivos en cuarentena pueden ser encontrados en el reporte del análisis: >>> J:\x.exe – Malware > Eliminado. (12.02.23. 23.32 x.exe.600748; MD5: a584f275a6929bc7980c513b04b2d33c) El nombre de este archivo es: 12.02.23. 23.32 x.exe.600748 (Año.Mes.Dia hora nombre original .identificador único ) Preguntas frecuentes P: Necesito pagar por MCShield para usarlo ? R: NO. MCShield es completamente gratis. P: MCShield es compatible con mi antivirus ? R: Si. MCShield fue diseñado para trabajar con tu antivirus y no debería de haber ningún problema. P: Necesito configurar a MCShield de alguna forma especial para que trabaje mejor ? R: No. La configuración predeterminada te dará la seguridad que necesitas. P: Necesito configurar mi antivirus en alguna forma para que MCShield trabaje bien ? R: Normalmente no, pero para obtener una velocidad de análisis mayor y minimizar interferencias con MCShield es recomendable añadir las siguientes carpetas a la lista de exclusión de tu antivirus: C:\Archivos de programas\MCShield ( o donde esté instalado MCShield ) C:\Documents and Settings\All Users\Datos de programa\MCShield ( Para Windows XP ) C:\ProgramData\MCShield ( Para Windows Vista / 7 ) Si otro programa de seguridad en tu ordenador ( Cortafuego ) tiene alguna clase de modulo de HIPS ( Sistema de Prevención Contra Intrusos ), todos los componentes de MCShield deberían de agregarse en la zona de confianza. P: MCShield renombro un archivo. Ahora que hago ? R: Primero tenga cuidado. El archivo fue renombrado porque es sospechoso y deberías asegurarte que no sea malicioso. Puedes subirlo (Mandarlo) a Virus Total – https://www.virustotal.com/ para ver si es detectado por otros programas antimalware o lo puedes mandar a nosotros para analizarlo. P: MCShield renombro/elimino un archivo pero creo es legitimo ( Limpio ). Que hago ahora ? R: Si crees que el archivo es legitimo, cámbiale el nombre de nuevo al original eliminando la extensión " .vir " o restáuralo desde la cuarentena. Añádelo a la lista blanca y mándanos el archivo o el reporte del análisis para examinarlo y prevenir una detección falsa en el futuro. P: Como reporto un archivo malicioso que MCShield no detecta ? R: Comprime el archivo. Lo en criptas con una clave y mándalo. P: Es MCShield compatible con Panda USB Vaccine ? Necesito los dos programas ? R: Si. Los dos son compatibles. USB Vaccine previene, o hace más complicada, la creación de archivos autorun.inf de cualquier clase, maliciosos y legítimos, al hacer esto provee cierto grado de protección en sistemas operativos heredados. MCShield es un programa anti–malware capaz de detectar y remover no solo los gusanos basados en autorun pero también todos los malware no virales transmitidos por discos removibles sin importar el método de ataque que se use. P: MCShield puede detectar y desinfectar virus ? R: Algunos virus usan técnicas parecidas al gusano para propagarse entre las computadoras. En estos casos MCShield tratará estos ( Virus ) droppers como gusanos y los eliminara. En caso de que un programa legitimo en tu disco o memoria flash haya sido infectado con un virus ( infecta archivos ), se necesitara el uso de un antivirus para desinfectar o eliminar el virus verdadero. P: Mi antivirus reporta que uno de los componentes de MCShield es un malware. Por que ? R: Desafortunadamente los antivirus de vez en cuando se equivocan y detectan aplicaciones legítimas como maliciosas. Esto se llama un falso/positivo. Tan pronto se nos informa que algún antivirus está detectando equivocadamente a MCShield, le mandamos al vendedor del antivirus un reporte de falso/positivo. Usualmente esto lo arreglan en cosa de horas. Para usar el programa mientras el falso/positivo todavía es detectado se deberá añadir MCShield a la lista de exclusión del antivirus. Usted también podría reportar el falso/positivo a la compañía de su antivirus para acelerar el proceso de remoción de la alerta. Muchos antivirus tienen opciones de como reportar un falso/positivo. Si usted no es capaz de reportarlo, apreciaríamos que nos lo dejara saber para así reportarlo nosotros. P: Yo ya tengo un antivirus Necesito MCShield de todas formas ? R: Lamentablemente una aplicación que provee 100 % protección en contra de malware no existe. Si usted conecta unidades de memoria como USB pen drives, tarjetas de memoria, cámaras, teléfonos móviles, unidades GPS, etc. a su computadora, el riesgo de infección aumenta y darle una extra ayuda a su antivirus es una buena idea. Mucha de las detecciones de MCShield son basadas en rutinas genéricas ( Heurística ) haciendo el programa capaz de detectar gusanos acabados de crear llenando el espacio de tiempo entre cuando una nuevo malware es liberado y la nueva firma de datos de virus en tu antivirus es actualizada. P: Puede McShield proporcionar 100% de detección de gusanos que se propagan a través de unidades extraíbles ? R: No. Creemos que verdaderamente no hay un programa capaz de detectar todos los malware que existen. P: My computadora nunca está conectada al internet así que no tengo un antivirus, solo MCShield. la unica forma de infección seria por una unidad de memoria extraíble. Es esto suficiente para una buena protección ? R: Estamos consientes que algunas personas solo usan MCShield para sus computadoras fuera de línea. Creemos que están bien protegidos en contra de gusanos, pero también recomendamos fuertemente el uso de un antivirus. Podría haber un programa legitimo infectado con un virus o algún archivo empaquetado como un trojano y MCShield no fue diseñado para detectar esta clase de malware. P: Necesito privilegios administrativos para instalar MCShield ? R: Si los necesita. El programa se instala para todos los usuarios así que necesitas ser el administrador o con derechos para poder instalarlo. ( Puedes empezar la instalación desde una cuenta limitada – solo haz click doble al archivo de instalación ). P: MCShield trabaja en cuentas limitadas de usuarios ? R: Si. P: Instale MCShield como administrador pero cuando accedo a mis otras cuentas el programa no funciona. Qué pasa ? R: Nada. El programa se instala para todos los usuarios, pero la configuración es por usuario. Después de instalar el programa y acceder a otra cuenta, el inicio del Monitor en Tiempo–Real y el Centro de Control se selecciona la configuración deseada ( esto es solo necesario una vez por usuario ). P: Cada vez que conecto mi memoria flash MCShield detecta el mismo malware. Por que pasa esto ? R: Es posible que el ordenador este infectado así que la memoria se reinfecta después que MCShield la limpio. Por favor analice su ordenador con su antivirus. Si eso no ayuda, puedes pedir ayuda en un fórum para la limpieza de malware. http://www.mycity.rs/?part=1 (Serbian / Croatian language) Forums in English and other languages: http://www.bleepingcomputer.com/combofix/how–to–use–combofix#forums P: Eeeehh.. Este programa es malo ! R: Sentimos mucho que pienses así, pero apreciaríamos que nos mandaras un e–mail con tus quejas para saber por qué crees que es malo. P: Dios mío esta buenísimo. Cómo puedo ayudar ? R: Gracias. Si hablas un idioma que MCShield no soporte y quisiera ayudarnos con la traducción haznos saber y te daremos instrucciones de cómo proceder. P: Tengo una pregunta que no fue contestada en esta guía. Dónde puedo hacerla ? R: Si tienes otras preguntas o comentarios, mándanos un e–mail ( Disponible en la pestaña de " Acerca " y nuestra página web ). También estas invitado a regístrate en nuestro fórum. Aunque es en serbian puedes abrir un tópico en ingles. http://www.mycity.rs/MyCity–Laboratorija/ Puedes registrarte / log in con Facebook o usando esta página http://www.mycity.rs/profile.php?mode=register