¿Tiene un problema? - Dr. Tecno

Si tu equipo de un momento a otro muestra mensajes como:

La fuente de voltaje no es suficiente para el correcto funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo mas tarde.

pues es que está infectado con el virus de origen mexicano “VENOM” (Venom.m / Satan / Lucifer 666).

Este virus se propaga mayormente por USB (Pen Drives, Discos removibles, etc.) y es sumamente molesto: deshabilita Administrador de Tareas, Administrador de Servicios, Regedit, Opciones de Carpeta, Command Prompt, etc. Hasta te entorpece navegar en Google (haciendo que se muestre caído ese buscador). Se propaga en todos los discos locales, externos, pen drives, etc.

Crea carpetas como micro$oft y oculta la de Windows, agregando un Windows.exe (normalmente ocultando su extensión) y ejecuta mas de 5 procesos disfrazados con nombres como “ping”, “find”.

Esta herramienta, “APG Anti VenoM”, tiene opciones específicas para remover este virus, así como utilidades para reactivar lo que comunmente desactivan los virus en Windows: apg-antivenom-61010.

Windows Vista viene con un avanzado mecanismo en su protocolo TCP/IP que permite “tunearse” automáticamente en base al tipo de conexión que detecte y al modo de uso de ésta.

Sin embargo, esta novedad parece causar problemas en ciertos dispositivos de red como Routers “antiguos” (por “antiguos” quiero decir los que Microsoft considera así al no tener la certificación de ser Windows Vista Compatible). Ciertos equipos no funcionan bien con el auto-tuning de Windows Vista, y se producen fallas aleatorias de todo tipo: errores de conexión, inhibición de router, errores de compresión (especialmente en funciones VoIp), etc.

Afortunadamente es posible deshabilitar esta opción en Windows Vista, con los siguientes pasos:

1) Abrir una ventana de Command Prompt como usuario Administrador. Para ejecutar la ventana de Command Prompt como Administrador, puede ir a Start>All Programs>Accessories>Command Prompt pero hacer click-derecho en Command Prompt y escoger la opción “Run as Administrator”.

2) Una vez en la ventana de Command Prompt, introducir este comando y marcar ENTER:

netsh interface tcp set global autotuninglevel=disabled

Debe recibir un “Ok.” como confirmación.

Si se desea revertir lo anterior, osea, rehabilitar el TCP/IP Auto-tuning, abrir una ventana de comando (tal como se describe en paso 1) y ejecutar el siguiente comando:

netsh interface tcp set global autotuninglevel=normal

Encontré un equipo infectado con toda una gama de virus: AutoIt-CP (DriveGuard.exe), DiskNight (Knight.exe), Virut (ise32.exe y varios nombres más), Win32:AutoIt-Z (Win32-AutoIt-Z - S-1-5-21-1482476501-1644491937-682003330-1013.exe), Win32:Magania (erdeiect.com), etc.

De todos estos, el más dañino, el Virut, infecta los ejecutables, imposibilitando su reparación.

El procedimiento correcto fué bootear con el avast BART CD actualizado y proceder con un escaneo completo, detectando más de 560 archivos infectados, increíble propagación en un equipo sin Internet (grave riesgo al no poder actualizarse) y con un simple Pen Drive usado en Cybercafés (la mayor fuente de virus… debería haber sanción para quienes den esa clase de servicio sin tener la protección de un excelente antivirus).

Al detectar el Virut, no hubo más remedio que pensar en una instalación de Windows, pero en modo reparación, para no perder la configuración anterior. Este pensamiento nace del hecho que el Virut dañó programas específicos de Windows.

INSTALACION DE WINDOWS EN MODO REPARACION

Al bootear con el CD de Windows XP, podemos empezar una instalación. El programa de instalación detectará la instalación previa y pregunta si se desea eliminarla o repararla. Usamos el modo de reparación.

IMPOSIBLE INICIAR SESIÓN

Una falla extraña no fué reparada por el instalador de XP (al menos la versión en español, que le tengo menos confianza que a la similar en inglés). El síntoma del problema es que Windows XP booteaba correctamente, pero inmediatamente cerraba la sesión. Si se intentaba de nuevo con el mismo usuario, iniciaba la sesión pero la cerraba inmediatamente, sin dar oportunidad a nada. Los intentos de usar al usuario Administrador fueron inútiles, de igual manera que intentar iniciar sesión en Modo a prueba de fallos.

El virus afectó los parámetros de Winlogon en el Registry y eliminó un archivo fundamental para iniciar la sesión: userinit.exe

SOLUCION

Editar el registro de Windows, y navegar hasta:

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”

Posiblemente encuentre una llave OldUserinit. Si encuentra esta llave, borre la llave Userinit y cambie el nombre a la llave OldUserinit por Userinit.

El contenido de la llave de Userinit debería ser el siguiente (sin comillas):

“WINDOWS_PATH\system32\userinit.exe,”

Ahora que ya estaba reparado el Registry de Windows, resulta que el archivo userinit.exe no fué instalado por el programa instalador de Windows en la reparación.

Tenemos que copiar el archivo userinit.exe de otro equipo (asegurándonos de que no esté infectado), o lo que hice: usar el Servant Salamander del avast BART CD que es una especie de Explorador de Windows, que permite accesar al Filesystem del equipo infectado. Busqué el userinit.exe en “C:\Windows\system32\DLLCACHE” y lo copié a “C:\Windows\system32″.

Reiniciar el equipo y probar. En caso de que el problema persista, volver a usar el Servant Salamander para copiar el userinit.exe del “C:\Windows\System32″ en ese mismo directorio, pero con el nombre wsaupdater.exe

Hoy recibí un spam engañoso con un supuesto “Microsoft XP official update 2008″, con un supuesto “Free Update Windows XP,Vista”. Ese email tenia un link a un flash:

http://img120.imageshack.us/img120/8065/66098451mp6.swf

Ese flash, aparentemente infofensivo (y sin sentido, además), tiene rutinas integradas para descargar automáticamente un virus desde la siguiente dirección:

http://89.187.49.18/install.exe

CRC32: 263AF417
MD5: 0F44ED00C0B67D9E5062B8E2C3574345
SHA1: 4D9B42BBD950EA0C253A483EA2DB3F888055C1C6
Ese ejecutable podría instalarse automáticamente si el Internet Explorer no está bien configurado, o hacer una pregunta que de pronto la mayoría, pensando que es algo legítimo o por desconocimiento sobre que hacer, respondería que proceda con la carga o instalación de esa rutina, que no es más que un virus.

Está latente la necesidad de estar conscientes de que no existe antivirus infalible, y que últimamente hay virus muy especializados que incluso anulan la configuración de todos los antivirus de renombre, así como detectan y anulan intentos de revisión de procesos, terminación de procesos, etc. Algunos usan técnicas de rootkit tan avanzadas (emulando a la famosa protección ilegal de Sony) que impiden que el explorador de windows y el task manager (Administrador de Tareas) muestren ciertos procesos y archivos (los del virus), obstaculizando enormemente su detección y eliminación.

Ayer me tocó eliminar un virus que se propaga por Messenger. La técnica de propagación es bien audaz: infecta un equipo, y el usuario de ese equipo, al estar conectado con su messenger, envía a sus contactos diversos mensajes como “Mira la foto tuya que voy a poner en mi blog” o “Esta es la foto de mi novio” y vienen con un attachment. También hay de otro tipo que envían una URL (dirección para usar en un navegador, página web) donde se inserta el nick del usuario del messenger y vá a un sitio “UltimateStufff.com” (así, mal escrito) o “imagerzz.com”. Y obviamente, resulta convincente para quien lo recibe, ya que lo envía un amigo por el messenger. Al momento de abrir lo que nos envían, empieza la pesadilla de tener un virus mutante que no es detectado por los antivirus.

En la muestra de ayer, se instaló en HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con un falso nombre de “Symantec Security Loader”, a un programa symloader.exe que, obviamente, es el virus:

Tamaño: 61440 bytes.
MD5: E218CBDF96A3C9B0879A01A181D4859E
CRC32: 355A25EE
SHA1: E456849DB11361C2FE26699FEB1B7EEDF886B9CD

Usa otro nombre cuando infecta Pen Drives (su otro medio de propagación): ShellView.exe.

Para dañar el modo a prueba de fallos, también se instala como un driver de Windows, con un nombre sin sentido (como “rrkcduvh“), pero el supuesto driver es un archivo zoie.sys. Esto es lo más difícil de detectar, y complica bastante toda tarea de desinfección al punto de considerar reinstalar todo Windows, pues no se puede bootear en modo a prueba de fallos, no se pueden usar programas para verlo en memoria y matarlo, no se puede cambiar la configuración del Registry, anula Task Manager, etc.

Es el virus más avanzado que he visto hasta el momento. Existen virus especializados que anulan la configuración de todos los antivirus conocidos. Pero este, no se preocupa de anular los antivirus, más bien anula toda rutina de Update a antivirus y anti-spyware/malware conocidos.

Lo que lo convierte en una perfecta amenaza, es que también detecta las herramientas más conocidas y usadas mundialmente para ver procesos en memoria, como los de SysInternals (Process Explorer, ProcDump).

Forma de Eliminarlo

Mientras el virus esté activo en memoria, es imposible atentar contra él con herramientas modernas… habría que probar con utilitarios obsoletos pero que al menos listen procesos y sean compatibles con XP/Vista.

La única manera de eliminarlo, es offline, osea, sin que el Windows esté cargado. Podría ponerse el disco duro infectado en otro equipo como esclavo o en un enclosure, con las molestias y riesgos que esto significa.

Opté por el avast BART CD. Usando el avast BART CD, un CD Booteable hecho por los creadores del avast Antivirus, es posible accesar al Registry de Windows del equipo infectado. El virus no se carga porque no estamos booteando en modo normal ni en modo a prueba de fallos. El BART viene con varias herramientas.

Con el Registry Editor eliminé las entradas de HKLM\Software\Microsoft\Windows\CurrentVersion\Run, las entradas que apuntaban al virus.

Con el Servant Salamander, una especie de Windows Explorer, pude accesar al filesystem del equipo infectado y borrar el symloader.exe. También usé la herramienta de búsqueda para detectar todos los archivos con fecha de ayer (el virus, en su modo de infección agresiva, comprueba y recomprueba que esté debidamente alojado en el equipo, lo que hace que sus archivos tengan fecha del día). Hay que ser cuidadoso con esto, pues obviamente saldrán en los resultados muchos otros archivos válidos. Me guío para reconocer los que pertenecen al virus por su tamaño… así fué como detecté al supuesto driver, de otra forma, es un dolor de cabeza tratar de reconocer un falso driver de la enorme lista de drivers que resultan (el BART también tiene un utilitario para ver drivers y servicios).

Borré todos los archivos que reconocí como el virus, y aproveché (por seguridad) para borrar todos los archivos de caché de Internet Explorer y Firefox (el equipo infectado usaba los dos), así como todos los temporales, e incluso todo el contenido de la carpeta de sistema RECYCLER (Papelera de Reciclaje) pues los virus se alojan allí, etc.

Luego tuve que usar RegUnlocker para habilitar de nuevo el Administrador de Tareas / Task Manager.

Hoy está circulando un peligroso virus que se instala como driver, lo que dificulta su detección.

El programa que se instala como tal, se llama OSTUQRUM.SYS o tambien LTJSYVTP.SYS (podría haber variantes).

El sistema se infecta luego de correr un programa que sirve de instalador. Ese programa se disfraza falsamente como una “post card” electrónica (de allí repetir una vez más la recomendación de que no abran ninguna clase de programa que reciban por email).

Cómo remover manualmente un driver en NT/XP/Vista/Win2003/Win2008?

Se hace click con el botón derecho en My Computer, y se hace click en el Device Manager. Debe activarse la opción que permita ver los dispositivos ocultos (View>Show hidden devices). Se expande “Non-Plug and Play Drivers”, y seleccionar el falso driver OSTUQRUM.SYS

Se hace click con el botón derecho del mouse sobre ese driver y se usa la opción Uninstall para desinstalarlo. Debe confirmar con Ok / Aceptar y reiniciar el equipo (le preguntará si desea hacerlo).

Cómo remover manualmente un servicio en NT/XP/Vista/Win2003/Win2008?

Hay que abrir una ventana de comando y usar el comando sc.

En la pregunta si de desea ver la ayuda para el comando QUERY, se presiona simplemente la n para indicar que no. Para borrar / desinstalar un servicio, hay que conocer el nombre de ese servicio en Windows.

Se usa el comando: sc delete “Service Name”

Usualmente sus archivos infectados se mueven al “baúl” de seguridad que tiene avast antivirus (salvo que sean archivos infectados y dañados, que los vuelva irrecuperables, como los programas que infecta el virus Sality).

Para abrir el baúl, tiene que hacer click con el boton derecho del mouse sobre el ícono de avast que esta en el System Tray (en su monitor, abajo a la derecha) y escoger la opcion “Iniciar avast” (o similar, tengo a mano la version en ingles solamente).

Una vez que sale la pantalla de avast, se hace click en el ícono del baúl:

En la lista de archivos infectados, se hace click con el boton derecho al que se desea extraer. No es recomendable extraer un archivo infectado, peor usarlo luego de extraerlo, pues corre el riesgo de infectar su equipo. Puede volver a testear un achivo en el baúl, por la posibilidad de que las nuevas firmas de virus establezcan nuevas pautas de detección y posible reparación.

Esto no es un problema propio del avast Antivirus sino de cualquier programa que use archivos de ayuda compilados que interactúen con ActiveX. Es un problema de ActiveX Compatibility en Internet Explorer.

Solución

Hay que editar el Registro de Windows para resolver este problema. Simplemente hay que asegurarse de que este valor esté en el Registro de Windows, tal como se indica a continuación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{ADB880A6-D8FF-11CF-9377-00AA003B7A11}]
“Compatibility Flags”=dword:00000000

O pueden descargar el archivo comprimido ie_compat_fix.zip que tiene el archivo de Registro necesario para modificar/agregar la llave ya indicada:

ie_compat_fix

Un problema adicional surge cuando el servicio de indexación se detiene o no avanza casi para nada. Esto es un bug en Vista. El problema surge mayormente en equipos portátiles con uso de manejo de energía.

Solución

Abrir Control Panel > System and Maintenance > Power Options. Seleccionar el modo de High Performance o cambiar los settings de Search and Indexing del plan que esté usando, de Power Saver cambiarlo a High Performance o no se activará la indexación. Tenga cuidado de no correr esto usando batería pues acorta la duración de la misma.

Este problema tiene que ver con indexación. Síntomas de índices incompletos pueden ser:

• Recibir resultados parciales o ningún resultado
• Items que deberían aparecer no se muestran al buscar (por ejemplo, en Contactos).

Se pueden reconstruir los índices de forma relativamente sencilla:

1. Cierre Outlook.
2. Haga click en el botón de Start y escoja Control Panel.
3. En Windows Vista haga click en System Maintenance y luego click en Indexing Options. (Si está en “Vista Clásica” del Panel de Control, escoja la opción Indexing Options.
   En Windows XP haga click en See Also, luego en Other Control Panel Options y luego escoja Indexing Options. (Si está en “Vista Clásica” del Panel de Control, haga doble click en Indexing Options.
4. Haga click en Modify y revise que estén marcados los puntos que Usted quiera indexar (debería estar marcado Microsoft Office Outlook).
5. Haga click en Advanced y luego click en el botón Rebuild.
6. Cargue nuevamente Outlook.