lunes, 4 de junio de 2007

doWTP_Restore.exe

Alien [blackhat4all@gmail.com]

Hace unos días, mientras estábamos dándole formato a la revista número 15, lo vi por primera vez. Un archivo de nombre doWTP_Restore.exe dentro de la carpeta MSOCache se apareció en una memoria que recién habíamos formateado. En ese momento no le prestamos mucha atención, puesto que estábamos más preocupados por terminar la revista a tiempo que por un posible programa maligno que yo tuviese en la máquina; sólo me limité a escribir en un TXT: "Tengo que revisar la memoria".

Hace dos días exactamente estaba registrando en las notas y vi que tenía cosas pendientes por hacer, así que me dediqué a buscar toda la información que pudiera acerca de este archivo. Fui hasta la biblioteca de virus nacionales (es una vecina que aún sin tener conexión a ningún tipo de red, han pasado por su máquina todos los tipos de virus que han salido en Cuba) y, efectivamente, en su memoria estaba ese mismo archivo.

Dos cosas: quisiera aclarar antes que nada a aquellos que tengan el NOD32 -que yo también lo tengo actualizado, y aun así no me detectó nada- que no se deben confiar. Y la otra es que al menos yo no lo llamaría virus todavía, a pesar de que según tengo entendido, en alguna máquina, Kaspersky lo reconoció como un programa potencialmente maligno.

¿Cómo sé si lo tengo?

El programa se encuentra dentro de una carpeta de nombre MSOCache, y hasta donde sé, se propaga fundamentalmente por la memorias Flash. Lo primero es tratar de habilitar la opción de mostrar archivos ocultos; así sabremos si tienen o no en nuestro dispositivo una carpeta con dicho nombre. Si no la tienen, no sigan leyendo esto, pero en caso de tenerla, de nada les servirá formatear la memoria, ya que al parecer, en la máquina hay un programa que cada un tiempo verifica a ver si en la Flash está el archivo, y si no está, lo copia. Tendrían que formatear la memoria y extraerla rápidamente de la PC, pero eso no lógico, ya que no la van poder poner hasta que no desinfecten la computadora.

¿Qué hace?

Como dije anteriormente, no lo puedo catalogar como virus, hasta ahora no he visto cosas inusuales graves como para decir que es “el peor virus de la historia”. Pero si:

1. Ralentiza el proceso de reconocimiento y carga de las memorias que lo tienen: cosa esta muy lógica, ya que no sólo tiene la máquina que reconocer el nuevo hardware, sino que tiene que cargar y pasarle parámetros a un archivo que puede ir desde ser un "Hola Mundo" hasta un programa encargado de calcular el factorial de 1000.
2. Evita que la memoria pueda ser extraída en cualquier momento: esto no es siempre, y puede estar dado por la misma razón anterior, si un programa se carga desde la memoria, esto conllevaría a que la memoria no se puede extraer tan fácil.

Estas son las cosas que veo que me hace, y lo que me han comentado, pero realmente puede ser una bomba de tiempo como el Melissa y activarse tanto en una fecha determinada como por una acción del usuario.

¿Qué hago?

Bien, el virus funciona gracias a un autorun.inf que está también dentro de la memoria. Este archivo no consta de mas de 4 líneas, pero en el se carga al doWTP_Restore.exe y se le pasa parámetros inclusive. Lo primero es tener bien claro que no se debe formatear la memoria, ya que esto traería como consecuencia que se sobreescriban los ficheros, y cualquier cosa que hayamos hecho para detener su efecto quedará obsoleta. Lo otro es que los archivos están ocultos y con atributos de sólo lectura y de sistema. Para quitarles estos atributos, yo personalmente lo hago desde una ventana de MS-DOS escribiendo la siguiente línea:

Attrib –r –h –s autorun.inf
Attrib –r –h –s MSOCache

Una vez hecho esto, los archivos están a la vista y listos para ser modificados. Ahora lo que tenemos que hacer es editar el autorun.inf con cualquier editor de texto y borrarle todas las líneas de código que tenga escritas. Luego lo guardamos con el mismo nombre y, por un problema de estética, podríamos concluir yendo al DOS y dándoles los atributos que tenían:

Attrib +r +h +s autorun.inf
Attrib +r +h +s MSOCache

Haciendo esto no quiere decir que se haya desinfectado ni la memoria ni la máquina, pero al menos no estaremos contribuyendo a propagar el programa en cuestión, ya que al ejecutarse el autorun.inf lo que haría sería... nada. Y cuando el virus residente en nuestra máquina intente copiar los archivos a la memoria, se dará cuenta que están ahí con esos mismos nombres y pensará que no en necesario copiarlos.

La otra parte está en desactivar de la computadora al archivo que se encarga de infectar la memoria Flash.

Para que el archivo pueda ejecuta su acción, debe estar en ejecución. Yo tengo en mi PC un programa de nombre ProcessExplorer, que me da una información bastante detallada de todas las aplicaciones que están corriendo en cada momento. El mismo no requiere de instalación, lo que lo hace más portátil todavía. Pero aún así, el que tenga cualquier otro, se dará cuenta que en hay un programa de nombre ctfmgr.exe que no presenta ninguna descripción, no muestra el nombre de la compañía por el cual fue creado ni nada. Simplemente lo que se debe hacer es terminar dicha aplicación y todo su árbol de procesos. Pero esto no para aquí. Aunque el archivo esté en la máquina, en algún momento debe ser cargado, y la forma más estándar de ejecutar aplicaciones al inicio de sesión es usando el Registro. Para eliminarlo del registro, debemos ir a la clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y eliminar el valor ctfmgr, cuya direccion de carga es c:\windows\ctfmgr.exe

Igualmente, podría hacerse al abrir msconfig desde la ventana Ejecutar en el menú Inicio, luego ir hasta la pestaña Inicio, y allí desmarcar la casilla que haga referencia al archivo citado con anterioridad. Aunque quitándolo del Registro, desaparece automáticamente.

Aclaro que esto, aunque funciona, no es el método más apropiado para desinfectar la PC, ya que una persona inexperta, trabajando en el Registro de Windows, podría introducir el delicado dedito en la tecla DELETE luego de haber hecho clic en una clave importante, y si por casualidad alguien presiona el ENTER del teclado numérico, a continuación...

Esto es más bien una solución temporal hasta que Segurmática (que es la empresa que se encarga de darle tratamiento y solución a los virus que afectan al país) saque en una de sus actualizaciones alguna solución.

Para saber más...



Artículos relacionados


No hay comentarios: