Ya en pasadas ediciones hemos dado la solución para eliminar o detener un virus en nuestras máquinas. Este artículo es básicamente para lo mismo pero antes de comenzar quisiera decir algunas cositas que considero necesarias.
Un virus, por lo general, es un archivo o conjunto de estos que de forma no autorizada ingresa en nuestra computadora para hacer cambios en nuestro disco duro que en nada benefician el buen rendimiento de nuestro ordenador. Mientras esto sucede, casi siempre dejan algún rastro que nos indica que algo mal está sucediendo; pero este rastro no será visto por todos, no porque haya que tener visión especial o grandes conocimientos, sino porque, desgraciadamente, la mayoría de las personas que adquieren un PC, no se preocupan por observarlo, por conocerlo, por saber hasta dónde rinde y qué es lo que hace con más facilidad. Por esta razón, a veces un programa maligno puede borrar del escritorio la mitad de nuestros iconos y nosotros no nos damos por enterado.
Podemos tener el mejor antivirus, el que más veces se actualice al día, el que mejor heurística ofrezca, pero esto no nos libra de que nuestro vecino, de tan solo 15 años, cree una aplicación y la ponga a prueba en nuestra máquina o que una compañera de trabajo no ducha en informática nos lo traiga su memoria, la cual tiene para incubar cuanto malware se encuentre, aparte de dos o tres documentos de Word sobre “gestión de la calidad” o cosas por el estilo.
Quisiera dar algunas sugerencias que nos permitan saber si nuestra máquina está o no infectada y prevenir los posibles ataques. Las dividiré en tres partes, las que pienso son vitales y en la mayoría de las ocasiones, hasta más útiles que un buen antivirus.
Conócela:
Pienso que un factor fundamental es conocer la máquina, como dije antes. Necesitamos saber todo acerca de la computadora que tenemos delante, el tiempo que se toma para encender, el tiempo que toma para apagar, posibles anormalidades que estén ocurriendo como refrescamientos repentinos de la pantalla, activación cada cierto tiempo de la disquetera, opciones a las que antes se tenía acceso y ahora no, etc. Nada es suficiente: debemos asegurarnos de conocer todo ya que mientras más datos tengamos más fácil identificaremos si algo extraño está sucediendo y por dónde debemos empezar a buscar.Visible=True:
Como segundo y no menos importante, es la visibilidad de todo. Windows por defecto nos oculta ciertos archivos de la máquina, cosa que no veo mal ya que se evita con esto que dedos no prácticos borren datos que resulten de vital importancia en la ejecución de tareas comunes, pero… ¿sabían que eso mismo hacen algunos virus para protegerse? La mayoría de los programas malignos, en aras de no ser vistos por los usuarios, se enmascaran como archivos ocultos y de sistema. Para eliminar esta invisibilidad debemos ir a Herramientas, Opciones de carpeta, y en la pestaña Ver, marcar: Mostrar todos los archivos y carpetas ocultos y casi al final deseleccionar: Ocultar archivos protegidos por el sistema operativo. Al principio se verán unos cuantos files que antes no estaban ahí, al igual que un puntico y tres letricas después del nombre de cada archivo, pero con el tiempo se acostumbrarán y créanme, será una buena opción.
Muchas de mis amistades, que saben un poco de computación, ven los archivos protegidos por el sistema pero no las extensiones. Quizás ignoran que un ejecutable con el ícono de una carpeta y en vista de iconos, en nada de diferencia de una carpeta real, solo en la programación, que mientras la verdadera da acceso a un nivel más profundo del disco duro, la carpeta falsa comienza a…
I Want to Know
Como tercera acción yo recomendaría tener un programa que nos diga exactamente y de forma más clara que el Ctrl+Alt+Del del Windows, quién se está ejecutando, de que empresa y dónde está. La mayoría de los virus se ejecutan al inicio de Windows y permanecen ocultos durante todo el tiempo que estemos trabajando, no se dejarán ver, Alt+Tab no nos abrirá ninguna ventana al respecto, no podremos hacer clic sobre la crucecita roja de la derecha, así que nuestra única arma es quitarlos por nosotros mismos.
Al respecto yo recomendaría el Procesexplorer, que nos da la opción de reemplazar al Administrador de Tareas de Windows y nos dice, además de todos los datos anteriores, en qué lugar del registro se carga la aplicación (en caso que se cargue por el registro).
Como algo colateral, en caso de que el usuario no sea muy hábil, no tenga mucha experiencia eliminando virus de forma manual o se cometan errores en el proceso, un buen disco de instalación del sistema no nos vendría mal tenerlo cerca. Sucede que, a veces, mientras intentamos acceder a ciertas partes debemos modificar algunas otras por necesidad y luego o no nos acordamos de qué fue lo que hicimos o no dejamos salvas, lo que nos lleva irremediablemente a reinstalar.
Dicho todo esto, comenzaré la historia desde el principio.
La semana pasada, mientras mi mamá jugaba su juego habitual la máquina se bloqueó, y lo hizo de tal forma que no permitía ni mover el ratón. Antes de que me diera tiempo a presionar el botón de reiniciado todo volvió a la normalidad y aunque para mi mamá eso no significó nada, para mi sí. Y esperé hasta la madrugada para sentarme a “hablar” con la máquina y tratar de deducir qué le había pasado.
Por lo general yo soy de los que no apagan mucho la máquina pero después de algo así pensé que debería hacerlo. Y para sorpresa mia, tuve que presionar Ctrl+Alt+Del y cargar el explorador de Windows para poder ver mi escritorio.
Detección de algo extraño::
Evidentemente ya tenía la primera anormalidad:“alguien” había cambiado ”algo” pero ¿quién era ese “alguien”? y ¿Dónde estaba ese “algo”?.
Si estuviera trabajando en Windows 98 o 2000, no dudara dos veces antes de ir al system.ini y leerme las 5 o 6 primeras líneas pero estaba trabajando en Windows xp, y en este caso el registro es la vía más efectiva.
El registro es un archivo que se encuentra en C:\Windows\regedit.exe (tras una instalación típica). Es el encargado de guardar casi toda la información de la máquina, desde algo tan trivial como la velocidad a la que se mueve el ratón hasta asuntos más comprometedores para el sistema como son los archivos que se cargan al inicio. Pero el registro está dividido en varias categorías y cada una de ella tiene tantas carpetas y subcarpetas que sería imposible aprendérselas todas. Esto, sin decir que los nombres no son tan comunes como “Fotos de mi tia”, “Dia en la playa”...
Es en este momento que ejecuto el procesexplorer tratando de encontrar de forma fácil la ubicación en el registro de….
Identificación del .exe
Es aquí donde me di cuenta de que aún no tenía el nombre del programa. ¿Cómo saberlo?
Para saber el nombre real (entiéndase nombre físico) de un virus, debemos tenerlo delante, aunque no siempre este es el mejor ni más eficaz método.
Quizás muchos hayan escuchado la musiquita de Windows antes de que este nos ponga delante la contraseña; esto es sinónimo de que antes de que el sistema operativo nos imponga toda la seguridad que hayamos configurado, ya podemos tener acceso a la tarjeta de sonido y sus controladores, lo que nos da, después de un poco de trabajo, acceso a la máquina. Pero eso es ya otra historia.
Como les decía, la música se deja escuchar antes de la contraseña, lo que implica que ya hay programas ejecutándose a trasfondo. Si tenemos suerte, el virus será uno de esos.
Luego de escribir la contraseña, como dije anteriormente, la pantalla se quedaba con la imagen del fondo de pantalla pero no mostraba ningún icono ni botón inicio ni nada. Evidentemente algo había reemplazado al explorador de Windows y ese algo era lo que se estaba ejecutando en estos momentos.
Hacer un llamado al Administrador de Tareas no pensé que me fuera a servir de mucho, ya que me iba a mostrar unos cuantos procesos y evidentemente el del virus no diría “Yo soy el virus.exe”. Alt+Tab no abriría ninguna ventana pero si después de esto presiono Alt+espacio, en todos los programas de Windows, TODOS, se abre un menú que permite, mover, maximizar, restaurar, y cerrar.
Si lo cerraba no obtendría el nombre, pero si lo maximizada, podría saber al menos que decía en la barra de título.
Para mi suerte, en la barra de titulo tenía el nombre del programa y, cuando lo cerré, vi en el procesexplorer cómo la aplicación igfxtha.exe se terminaba, evidentemente era el mismo proceso.
Antes de quitarlo de la máquina, fui hasta la memoria y no vi nada pero antes de cerrarlo borré una carpeta y vi que automáticamente se creó un archivo de nombre autorun.inf y una carpeta de nombre RECYCLER, la cual tenía dentro un archivo llamado CEtha_Restore.exe.
Después de borrar algo de un dispositivo de almacenamiento masivo se debe saber que el dato borrado no va para la papelera, sino que se elimina por completo de la máquina, así que la carpeta esa no tenía ningún motivo para haberse creado.
El código del autorun era:
[AutoRun]
open=RECYCLER\CEtha_Restore.exe rd
shellexecute=RECYCLER\CEtha_Restore.exe rd
shell\Auto\command=RECYCLER\CEtha_Restore.exe rd
shell=Auto
El último pasó fue ir al registro en busca de igfxtha.exe, y eliminar el archivo físicamente de la máquina luego de buscarlo por el mismo nombre.
Para quitarlo basta con reemplazar en la dirección del registro HKEY_Local_machine\software\microsoft\windows nt\currentVersion\winlogon la clave UserInit el valor igfxtha.exe por C:\WINDOWS\system32\userinit.exe,
Todos los datos
Dirección en el registro:HKEY_Local_machine\software\microsoft\windows nt\currentVersion\winlogonClave:
Userinit Valor:
igfxtha.exeDirección en el disco duro:
C:\windows\system32\igfxtha.exeNombre que adopta en la memoria Flash:
RECYCLER\CEtha_Restore.exe
El trabajo en el registro puede ser -y de hecho es- muy peligroso: con cada letra que se mueva se corre el riesgo de impedir el buen funcionamiento de Windows.
Nota: Omití decir que por error, en lugar de modificar UserInit, lo eliminé, lo que me dejó con males mayores, por eso es la importancia de un CD de instalación del Windows...
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario