Blackbishop’s Tanker

La información de este artículo concierne al 30 de abril del 2008, pero hasta hoy lo redacté, durante ese día fui parte en la desinfección de varios virus durante todo el día. Bueno, a comenzar…

Por la mañana un amigo me comentó que había recibido un correo “de Playboy” referente a que bajara un reproductor de videos de esa empresa. Había un enlace en el cual pedía permiso para descargar un archivo ejecutable, la computadora en cuestión era una laptop, yo estaba presente y mi compañero mencionó el bajarlo y ejecutarlo solo por diversión, obviamente sabíamos que era un virus, pero no había nada mejor que hacer, así que se hizo. Lo único que pasó es que le abrió la pagina oficial de playboy, y por un momento pensamos que no era nada, ya que tenía el NOD32 actualizado en ese momento, pero por si acaso mande el archivo al analizador en linea del kaspersky y lo detectó como virus, le pedí que presionara ctrl+alt+supr y no pudo accesar al administrador de tareas… estaba infectado.

La desinfección no fue difícil el virus creaba un registro de un archivo WndowsXP.exe (asi es sin la “i”), y aparte creaba otro ejecutable temporal, ambos en archivos temporales del usuario en doc. & set. si mal no recuerdo, solo basta entrar al regedit y buscar un registro “taskmgr” y cuando los redireccione a uno que diga “disable” ese lo borran. Posteriormente usan el adminsitrador de procesos para eliminar el WndowsXP si está corriendo y algún archivo con nombre aleatorio, deberían ser capaces de localizarlos haciendo una búsqueda de archivos creados ese día y el que tenga nombre extraño y esté en el mismo directorio que WndowsXP, ése es. Una vez localizados se elimian los procesos y se borran los archivos, por último se borra el registro de WndowsXP.exe. Un detalle curioso es que el virus cambia su icono dependiendo dependiendo de la ocasión, por así decirlo.

Ese fue el primero, pero de cualquier forma era un riesgo controlado, pero más tardamos en quitarle eso que en infectarse de nuevo, accidentalmente por otro amigo que tenía ese virus, el amvo, pariente lejando del avpo, el cual sigue su mismo patrón, crea un autorun en todas las unidades posibles y su archivo ejecutable, se copia en system32 bajo dos archivos, uno exe y otro dll, y no permite que se muestren los archivos ocultos, para empezar entramos al cmd, y nos dirigimos a system32, los archivos que buscamos son amvo.exe y uno parecido pero dll. si el amvo aparece en el administrador de procesos, eliminelo, y ejecute la siguiente linea en el cmd:

attrib -s -h -r amv*.*

y posteriormente :

del amv*.*

le dará error al intentar borrar el dll, tiene dos opciones, reiniciar al terminar de hacer lo que nos falta, y borrarlo ó bajar/instalar/usar el unlocker (busquenlo en google y borrarlo así.

Después de esto, con el cmd nos dirijimos al directorio raíz y usamos el attrib para desenmascarar a dos archivos:

attrib -s -h -r auto*.*

attrib -s -h -r archivo extraño.bat o archivo.cmd

En este momento no recuerdo el nombre del archivo bat, pero si teclean edit autorun.inf, ahí podrán ver que archivo es el que menciona para borrar. Después de eso escriban del auto*.* y del archivo extraño.bat

Repitase esto por cada unidad infectada y si va a insertar una usb u otro dispositivo externo infectado, presione shift para cancelar el autoarranque, y elimínelo desde cmd, nunca desde el explorador de windows y si el nero le puede brindar esa opción lo puede borrar por ese medio(en el nero se ven los archivos ocultos).

Ahí fue el segundo, para la tarde ya estaba en mi casa y me pregunta ese amigo que si le puedo ayudar a desinfectar un virus que tenía su primo mediante la maravillosa tecnología de logmein, para administrar pc’s remotamente, y el virus que encontré era uno llamado Clean, el cual mide más de 1mb, es uno de los virus más grandes que había visto. Pero no es tan dificil de quitar, solo elimina el proceso clean de la lista de procesos y en documents and settings busca un archivo llamado clean, probablemente lo encontrará en allusers y lo borra, psoteriormente busca en regedit el registro(s) de clean y lo(s) borra(s). Y ahí se acabo.

Por último ese mismo amigo se le infectó una pc en su trabajo, el sabía como repararlo, pero igual y me invitó para ver el espectáculo, al parecer el virus le corrompió algunos registros de cierta carpeta importante de windows, y efectivamente se recuperó el control para sacar la información apropiada y formatear (el rescate antes del bombazo daa). De igual forma no supimos ni que lo atacó, pero lo que fue era muy agresivo. No le dejaba abrir algunas cosillas y desactivaba dispositivos externos. Bueno, ya es historia.

Y ahí acaba el relato de hoy… ¿cuál es la moraleja? Algo que no he mencionado, es que la mayoria (si no todas) usaban NOD32, y puesto que no detectó ni menos eliminó algo, se aconseja no usar NOD32, sin embargo, hay “rumores” fundados de que algunas versiones “gratis” de las que circulan por la red tienen el ntos incluido. Si no saben que es el ntos, este es un virus que se disfrazaba de lista de gasolineras fraudulentas. Si quieren mas información ahí está el google.

Bueno eso es todo. Hasta la próxima.