Ayer me tocó eliminar un virus que se propaga por Messenger. La técnica de propagación es bien audaz: infecta un equipo, y el usuario de ese equipo, al estar conectado con su messenger, envía a sus contactos diversos mensajes como “Mira la foto tuya que voy a poner en mi blog” o “Esta es la foto de mi novio” y vienen con un attachment. También hay de otro tipo que envían una URL (dirección para usar en un navegador, página web) donde se inserta el nick del usuario del messenger y vá a un sitio “UltimateStufff.com” (así, mal escrito) o “imagerzz.com”. Y obviamente, resulta convincente para quien lo recibe, ya que lo envía un amigo por el messenger. Al momento de abrir lo que nos envían, empieza la pesadilla de tener un virus mutante que no es detectado por los antivirus.
En la muestra de ayer, se instaló en HKLM\Software\Microsoft\Windows\CurrentVersion\Run, con un falso nombre de “Symantec Security Loader”, a un programa symloader.exe que, obviamente, es el virus:
Tamaño: 61440 bytes.
MD5: E218CBDF96A3C9B0879A01A181D4859E
CRC32: 355A25EE
SHA1: E456849DB11361C2FE26699FEB1B7EEDF886B9CD
Usa otro nombre cuando infecta Pen Drives (su otro medio de propagación): ShellView.exe.
Para dañar el modo a prueba de fallos, también se instala como un driver de Windows, con un nombre sin sentido (como “rrkcduvh“), pero el supuesto driver es un archivo zoie.sys. Esto es lo más difícil de detectar, y complica bastante toda tarea de desinfección al punto de considerar reinstalar todo Windows, pues no se puede bootear en modo a prueba de fallos, no se pueden usar programas para verlo en memoria y matarlo, no se puede cambiar la configuración del Registry, anula Task Manager, etc.
Es el virus más avanzado que he visto hasta el momento. Existen virus especializados que anulan la configuración de todos los antivirus conocidos. Pero este, no se preocupa de anular los antivirus, más bien anula toda rutina de Update a antivirus y anti-spyware/malware conocidos.
Lo que lo convierte en una perfecta amenaza, es que también detecta las herramientas más conocidas y usadas mundialmente para ver procesos en memoria, como los de SysInternals (Process Explorer, ProcDump).
Forma de Eliminarlo
Mientras el virus esté activo en memoria, es imposible atentar contra él con herramientas modernas… habría que probar con utilitarios obsoletos pero que al menos listen procesos y sean compatibles con XP/Vista.
La única manera de eliminarlo, es offline, osea, sin que el Windows esté cargado. Podría ponerse el disco duro infectado en otro equipo como esclavo o en un enclosure, con las molestias y riesgos que esto significa.
Opté por el avast BART CD. Usando el avast BART CD, un CD Booteable hecho por los creadores del avast Antivirus, es posible accesar al Registry de Windows del equipo infectado. El virus no se carga porque no estamos booteando en modo normal ni en modo a prueba de fallos. El BART viene con varias herramientas.
Con el Registry Editor eliminé las entradas de HKLM\Software\Microsoft\Windows\CurrentVersion\Run, las entradas que apuntaban al virus.
Con el Servant Salamander, una especie de Windows Explorer, pude accesar al filesystem del equipo infectado y borrar el symloader.exe. También usé la herramienta de búsqueda para detectar todos los archivos con fecha de ayer (el virus, en su modo de infección agresiva, comprueba y recomprueba que esté debidamente alojado en el equipo, lo que hace que sus archivos tengan fecha del día). Hay que ser cuidadoso con esto, pues obviamente saldrán en los resultados muchos otros archivos válidos. Me guío para reconocer los que pertenecen al virus por su tamaño… así fué como detecté al supuesto driver, de otra forma, es un dolor de cabeza tratar de reconocer un falso driver de la enorme lista de drivers que resultan (el BART también tiene un utilitario para ver drivers y servicios).
Borré todos los archivos que reconocí como el virus, y aproveché (por seguridad) para borrar todos los archivos de caché de Internet Explorer y Firefox (el equipo infectado usaba los dos), así como todos los temporales, e incluso todo el contenido de la carpeta de sistema RECYCLER (Papelera de Reciclaje) pues los virus se alojan allí, etc.
Luego tuve que usar RegUnlocker para habilitar de nuevo el Administrador de Tareas / Task Manager.
