Ayer me tocó eliminar un virus que se propaga por Messenger. La técnica de propagación es bien audaz: infecta un equipo, y el usuario de ese equipo, al estar conectado con su messenger, envía a sus contactos diversos mensajes como “Mira la foto tuya que voy a poner en mi blog” o “Esta es la foto de mi novio” y vienen con un attachment. También hay de otro tipo que envían una URL (dirección para usar en un navegador, página web) donde se inserta el nick del usuario del messenger y vá a un sitio “UltimateStufff.com” (así, mal escrito) o “imagerzz.com”. Y obviamente, resulta convincente para quien lo recibe, ya que lo envía un amigo por el messenger. Al momento de abrir lo que nos envían, empieza la pesadilla de tener un virus mutante que no es detectado por los antivirus.
En la muestra de ayer, se instaló en HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con un falso nombre de “Symantec Security Loader”, a un programa symloader.exe que, obviamente, es el virus:
Tamaño: 61440 bytes.
MD5: E218CBDF96A3C9B0879A01A181D4859E
CRC32: 355A25EE
SHA1: E456849DB11361C2FE26699FEB1B7EEDF886B9CD
Usa otro nombre cuando infecta Pen Drives (su otro medio de propagación): ShellView.exe.
Para dañar el modo a prueba de fallos, también se instala como un driver de Windows, con un nombre sin sentido (como “rrkcduvh“), pero el supuesto driver es un archivo zoie.sys. Esto es lo más difícil de detectar, y complica bastante toda tarea de desinfección al punto de considerar reinstalar todo Windows, pues no se puede bootear en modo a prueba de fallos, no se pueden usar programas para verlo en memoria y matarlo, no se puede cambiar la configuración del Registry, anula Task Manager, etc.
Es el virus más avanzado que he visto hasta el momento. Existen virus especializados que anulan la configuración de todos los antivirus conocidos. Pero este, no se preocupa de anular los antivirus, más bien anula toda rutina de Update a antivirus y anti-spyware/malware conocidos.
Lo que lo convierte en una perfecta amenaza, es que también detecta las herramientas más conocidas y usadas mundialmente para ver procesos en memoria, como los de SysInternals (Process Explorer, ProcDump).
Forma de Eliminarlo
Mientras el virus esté activo en memoria, es imposible atentar contra él con herramientas modernas… habría que probar con utilitarios obsoletos pero que al menos listen procesos y sean compatibles con XP/Vista.
La única manera de eliminarlo, es offline, osea, sin que el Windows esté cargado. Podría ponerse el disco duro infectado en otro equipo como esclavo o en un enclosure, con las molestias y riesgos que esto significa.
Opté por el avast BART CD. Usando el avast BART CD, un CD Booteable hecho por los creadores del avast Antivirus, es posible accesar al Registry de Windows del equipo infectado. El virus no se carga porque no estamos booteando en modo normal ni en modo a prueba de fallos. El BART viene con varias herramientas.
Con el Registry Editor eliminé las entradas de HKLM\Software\Microsoft\Windows\CurrentVersion\Run, las entradas que apuntaban al virus.
Con el Servant Salamander, una especie de Windows Explorer, pude accesar al filesystem del equipo infectado y borrar el symloader.exe. También usé la herramienta de búsqueda para detectar todos los archivos con fecha de ayer (el virus, en su modo de infección agresiva, comprueba y recomprueba que esté debidamente alojado en el equipo, lo que hace que sus archivos tengan fecha del día). Hay que ser cuidadoso con esto, pues obviamente saldrán en los resultados muchos otros archivos válidos. Me guío para reconocer los que pertenecen al virus por su tamaño… así fué como detecté al supuesto driver, de otra forma, es un dolor de cabeza tratar de reconocer un falso driver de la enorme lista de drivers que resultan (el BART también tiene un utilitario para ver drivers y servicios).
Borré todos los archivos que reconocí como el virus, y aproveché (por seguridad) para borrar todos los archivos de caché de Internet Explorer y Firefox (el equipo infectado usaba los dos), así como todos los temporales, e incluso todo el contenido de la carpeta de sistema RECYCLER (Papelera de Reciclaje) pues los virus se alojan allí, etc.
Luego tuve que usar RegUnlocker para habilitar de nuevo el Administrador de Tareas / Task Manager.
Etiquetas: eliminar virus, nuevo virus, virus avanzado, virus inteligente
HOLA ANTES QUE NADA GRACIAS POR SUBIR INFORMACION DE ESTE TIPO;
TENGO 16 AÑOS SOY ESTUDIANTE DE PROGRAMACION 3ER SEMESTRE
HACE UNA SEMANA(24-08-08) MI MAQUINA SE INFECTO CON UN VIRUS CON LAS MISMAS CARACTERISTICAS, DESPUES DE BUSCAR Y BUSCAR EN EL INTERNET ALGO RELACIONADO CON EL VIRUS NO ENCONTREBA NADA
HASTA QUE DI CON ESTA WEB,
YO LO QUITE CON ANTIVIR,TUNEUP 2008 UTILITIES EN ESPAÑOL,SERVANT SALAMANDER, Y EL REGUNLOCKER.
PERO CREO Q T FALTO MENCIONAR UN ARCHIVO Q HACE Q SE REINSTALE Q C LLAMA IFGXTRAY.EXE Y QUE TIENES Q ABRIR LA CARPETA TEMP DE TU USUARIO PARA ELIMINAR UNA APLICACION QUE ESTA HAI
SE SUPONE Q EN ESA CARPETA DEBE DE HABER SOLO CARPETAS NO APLICACIONES ASI QUE CUALQUIERA Q ESTE HAI DEBES BORRARLA
NO UBO NECESIDAD DE PASAR MI DISCO A OTRA PC O ELIMINARLO OFFLINE
Y SI ELIMINASTE LAS ENTRADAS CHEK QUE NO SE HAYA VUELTO A REINSTALAR, Y UTILIZA EL TUNE UP PARA BLOQUEAR TU REGISTRO CLARO QUE CUANDO VALLAS A INSTALAR UN PROGRAMA LO DESBLOQUEAS Y LO VUELVES A BLOQUEAR
LES RECOMIENDO TUNE UP PORQUE CONSIDERO LA HERRAMIENTA MAS COMPLETA DE UTILIDADES
SI NECESITAN AYUDA CON ESTE PROBLEMA CONTACTENME
KRAOT_ISRAEL@HOTMAIL.COM
StRoKeR, gracias por tu comentario. El programa al que haces referencia (que se llama en realidad IGFXTRAY.EXE) es un componente considerado no crítico que te permite accesar a la aplicación de Intel Graphics para configuración y diagnósticos, común en equipos con video integrado de Intel.
Si, el TuneUp es muy util, pero los virus y malware son cada vez más especializados y hacen cambios en el Registry que a la postre te impiden instalar programas claves.
Normalmente el RegUnlocker es más que suficiente para habilitar de nuevo las opciones primarias (como editar el registro). Sin embargo, como este tipo de virus que menciono en el artículo, hacía su trabajo sucio de inmediato, dando como resultado que “El Administrador del equipo había deshabilitado editar el registro”, pero ibas al Group Policy y aparecía como habilitado, es decir, no se había deshabilitado… es el virus actuando en memoria.
Saludos.