lunes, 4 de febrero de 2013

Problemas de acceso a la WEB en Windows. Los malwares proxy

Existe un tipo de malwares, virus, etc. pululando por los sistemas Windows que provocan que los navegadores Internet Explorer, Google Chrome y Safari dejen de funcionar (aunque no así en Mozilla Firefox, salvo que este esté configurado para usar la configuración de proxy del sistema).

Este tipo de bichos están diseñados para obtener toda la información posible acerca de nuestros hábitos de navegación con diferentes propósitos: spyware, robo de contraseñas no seguras, etc. El ataque que provocan es de tipo man-in-the-middle, aprovechando la configuración de proxy de usuario de Windows la cuál es fácilmente manipulable mediante una simple escritura en el registro.



El programa malicioso configura nuestro sistema para que este navegue a través de un proxy en lugar de hacerlo de manera directa. Pero no usa un proxy real, sino que él mismo hace de proxy en Windows en algún puerto TCP aleatorio poco común, y redirigiendo todas las peticiones a la IP localhost (127.0.0.1) que identifica inequívocamente al sistema infectado.

Podemos tener al parásito durante mucho tiempo hasta que nos demos cuenta. Pero, ¿qué pasa el día que actualizas el antivirus y el bicho es "cazado"? Pues que el falso proxy deja de funcionar, pero el sistema sigue configurado para salir a Internet a través del mismo, lo que causa el aparente síntoma de que no tenemos Internet (aunque en realidad pocos programas se hacen cargo de este ajuste, a excepción de los navegadores web).

Los síntomas básicos de este problema son:

  • Si haces "ping" a una dirección de Internet bien conocida, ésta responde perfectamente.
  • Si intentas abrir una WEB con Internet Explorer, aparece un error de conexión, pero no así con Mozilla Firefox.
  • Otros programas dependientes de Internet tales como Skype funcionan correctamente.

Si es así, es probable que hayamos tenido uno de estos parásitos infectando nuestro sistema y el antivirus lo ha eliminado sin restituir la configuración de proxy.

La solución


Es tan sencillo como reconfigurar manualmente la configuración del proxy de Windows. La forma más fácil (común a Windows 200x, Windows XP y Windows 7) es ir a Panel de Control y seleccionar "Opciones de Internet".

En esta ventana seleccionamos la pestaña "Conexiones" y después "Configuración de LAN"




En la nueva ventana que se nos abrirá, tenemos que localizar las opciones de configuración de Proxy y desmarcar la casilla "Usar servidor proxy para LAN...", así como borrar los campos "Dirección" y "Puerto", que como observaremos, están rellenos con los datos proporcionados por el virus para forzar que todas las conexiones pasen a través de él:



Puede ocurrir que se trate de nuestro PC de trabajo, y el malnacido del sysadmin de la compañía nos tenga bloqueado el acceso a esta ventana para así evitar que toquemos donde no debemos. En ese caso el método a seguir es otro. El sistema de Directivas de Grupo de Windows permite en efecto bloquearnos esta ventana, pero está tan mal diseñado que no establece una seguridad real sobre el objeto final del registro que se modifica para configurar el proxy, por lo que basta con armarnos con el Editor de Registro (alias regedit.exe) y hacer los siguientes cambios:

  • En la clave HKCU\Software\Microsoft\Windows\Currentversion\Internet Settings\ localizamos el valor "Proxyenable", y lo mofidicamos para que contenga como dato: "0". 
  • En la misma clave anterior, buscamos el valor "ProxyServer" y borramos su contenido (que estará indicando algo similar a lo de antes, 127.0.0.1:58887).

Ni que decir tiene que si en condiciones normales nosotros tenemos configurado un proxy para la salida a Internet, no hay que borrar los valores anteriores, sino sustituirlos por los nuestros.