Este es un trabajo que originalmente fue publicado en marzo de 2009 para documentar la aparición de un nuevo virus informático del tipo spyware transmisible por Internet, Spyware Protect 2009, el cual no solo constituyó en su momento una colosal estafa para quienes lograba asustar con sus mensajes “pop-up” advirtiéndoles que se había detectado una intrusión viral informática en la computadora del usuario siendo urgente la compra de un supuesto paquete de detección, protección y remoción, sino que logró instalarse en muchas computadoras sin autorización de los usuarios espiando las computadoras infectadas por el programa malicioso, más aún aquellas computadoras en las cuales se instalaba el programa Spyware Protect 2009 tras caer en la trampa de efectuar el pago requerido dando con ello una entrada absoluta a los invasores a cada computadora en la cual se llevaba a cabo la instalación.
En el año transcurrido desde que se publicó esta bitácora, muchas cosas han cambiado. Por principio de cuentas, las herramientas usuales para la remoción manual de virus informáticos de una máquina que está trabajando con el sistema operativo Windows de Microsoft han sido avasalladas por una nueva generación de infectores de virulencia extraordinaria que efectivamente ha inutilizado dichas herramientas. Los hackers redactores de estos virus han aprendido de sus errores y han mejorado sus estrategias a grado tal que los nuevos infectores, conocidos como malware, son capaces de ejercitar un daño colosal si no se modifican las estrategias de respuesta a esta amenaza. Un nuevo tipo de ataque requiere un nuevo tipo de contraataque. Lo que se ha hecho aquí es tomar el trabajo original manteniendo a Spyware Protect 2009 como el arquetipo representativo de la nueva ola de infectores que hicieron su aparición en el 2009, agregándosele nuevas entradas en la forma de Addendums documentando la seriedad del problema y proporcionando nuevas alternativas de respuesta. Considero que la información que ya había sido proporcionada en relación con el infector Spyware Protect 2009, junto con la información actualizada que se está dando aquí, pueden servir como guía para tomar conciencia de lo que estamos enfrentando para así estar mejor preparados para minimizar los daños, y lo que se puede hacer ante este tipo de situaciones.
Puesto que en cada una de las entradas de la bitácora se dan una serie de procedimientos y explicaciones detalladas, tal vez resulte conveniente para algunos lectores el archivar cada una de las entradas como página Web -en el navegador Mozilla esto se lleva a cabo en la línea del Menú yendo a la opción de “File” (Archivo) y seleccionando la sub-opción “Save Page as...” (Guardar Página como...), y una vez que se tengan todas las entradas guardadas en el disco duro de la computadora se puede quemar la información en un disco CD, con lo cual la información estará disponible en todo momento ya sea desde el disco duro o desde el disco CD aún cuando la conexión a Internet se caiga totalmente por culpa de un virus informático, esto porque una vez que se manifiesta la infección es posible que la conexión a Internet deje de ser confiable y ya no es posible conectarse a Blogger para poder consultar los materiales aquí documentados.
sábado, 10 de abril de 2010
Indice
1. Un virus informático maligno
2. Remoción manual del virus Spyware Protect
3. El borrado manual de archivos de infección
4. Las herramientas inútiles
5. Procedimiento general de remoción
6. Procedimiento “top-down” de búsquedas
7. Un caso hipotético
8. Restauración de función ver archivos ocultos
9. La usurpación de la “Restauración del sistema”
10. Eliminación manual del virus “olhrwef.exe”
11. La mente del hacker
12. Mantenimiento preventivo
ADDENDUMS:
La nueva generación
El contraataque I
El contraataque II
La nueva amenaza de 2011
2. Remoción manual del virus Spyware Protect
3. El borrado manual de archivos de infección
4. Las herramientas inútiles
5. Procedimiento general de remoción
6. Procedimiento “top-down” de búsquedas
7. Un caso hipotético
8. Restauración de función ver archivos ocultos
9. La usurpación de la “Restauración del sistema”
10. Eliminación manual del virus “olhrwef.exe”
11. La mente del hacker
12. Mantenimiento preventivo
ADDENDUMS:
La nueva generación
El contraataque I
El contraataque II
La nueva amenaza de 2011
1: Un virus informático maligno
Recientemente a través de mis servicios como consultor privado me ha tocado tener que lidiar con varios caso de una infección viral extremadamente potente, uno de los virus informáticos más perniciosos que haya visto y el cual no me asombraría que llegara a ser uno de los males que encabezarán la lista de infecciones para el 2009. Se trata de Spyware Protect 2009. En este documento que consta de varias entradas proporcionaré a mis lectores un procedimiento general que puede ser utilizado para remover el virus Spyware Protect 2009. Este mismo procedimiento de remoción del virus puede ser utilizado exitosamente para la remoción de cualquier otro virus recibido a través de Internet y es por lo tanto de carácter general. Aunque el procedimiento que daré aquí es aplicable a Windows XP, con algunas ligeras modificaciones puede ser extendido a otros sistemas operativos tales como Windows 98 y Windows Vista, de manera tal que este documento puede ser visto como un tutorial para llevar a cabo la remoción de cualquier virus informático que se le haya metido a una computadora a través de Internet.
Pero antes de entrar en materia, es necesario hablar un poco acerca de lo que es Spyware Protect 2009.
Spyware Protect 2009, también conocido como SpywareProtect2009, SpywareProtect 2009 y Spyware Protect2009 (obsérvese que la diferencia está únicamente en los espacios en blanco entre las palabras) es un programa anti-espía falso que muestra un icono en la bandeja de la computadora infectada (en el extremo inferior derecho) indicando que el equipo está infectado por un programa espía, una advertencia que tal vez sea el peor de los cinismos. Spyware Protect 2009 utilizará mensajes de seguridad falsos para incitarle a la víctima a descargar su software completo y le animará a comprar la versión completa de Spyware Protect 2009. Spyware Protect 2009 es un clon de XLG Privacy Control Center cuya ventana una vez instalado en Windows XP tenía el siguiente aspecto:
El “XLG Privacy Control Center” trabajaba usando el código del programa malicioso AVScan utilizado ahora por Spyware Protect 2009 que no ofrece protección alguna contra nada y por el contrario es una de las peores amenazas que enfrenta hoy el usuario de Internet. Una variante de dicho programa la encontramos también en otro paquete promocionado bajo el nombre Antivirus 2009. Quienes caían en la trampa de pagar por la subscripción de este último, al tenerlo instalado en su máquina y al tenerlo operando podían ver una ventana como la siguiente con la cual el programa les informaba que supuestamente estaba detectando y estaba eliminando programas espías instalados dentro de la máquina:
Pero todo esto es una ilusión porque estos programas forjados por empresas criminales e instalados inicialmente en las máquinas a través de tácticas de intimidación y chantaje en realidad no hacen nada de lo que dicen estar haciendo, ciertamente no sirven para remover otras infecciones informáticas virales contraídas a través de Internet, lo único para lo que podrían servir es para remover de una máquina la principal infección de todas, ellos mismos, y esto no lo van a hacer, al menos no mientras les esté entrando mucho dinero en los bolsillos de parte de sus subscriptores a los cuales les están “vendiendo protección” al estilo de como solían hacerlo las mafias de Chicago a los pequeños negocios y empresarios a fin de que no les fuera a ocurrir nada malo. Dada la enorme similitud en los procedimientos de ataque utilizados tanto por el “XLG Privacy Control Center”, el “Antivirus 2009” y ahora Spyware Protect 2009, lo más probable es que en los tres casos se trate del mismo grupo criminal manteniendo sus materiales al día bajo nombres distintos y acaudalando enormes fortunas al hacerlo.
Spyware Protect 2009 intenta entrar por vez primera a una máquina desprotegida a través de un troyano obtenido de varias maneras, por ejemplo al llevarse a cargo la descarga automática de codecs para ver alguna película proveniente de Internet (esto último es una mala costumbre del Windows Media Player que debería ser corregida o parchada). Una vez instalado en la máquina, el paquete infector inicial de Spyware Protect 2009 será ejecutado cada vez que se inicie Windows, y su presencia será obvia al aparecer en la pantalla una cantidad excesiva de ventanas emergentes publicitarias “pop-up” alertando al incauto de que su máquina está en peligro y que es indispensable que compre la versión completa de Spyware Protect 2009, sin que el incauto sepa que se trata de una trampa que sólo empeorará mil veces las cosas. A menos de que se haga un trabajo meticuloso, Spyware Protect 2009 puede ser difícil de eliminar manualmente porque tiene la capacidad de volver a surgir.
Aunque Spyware Protect 2009 no es considerado por los especialistas como un virus propiamente dicho, sino como una clase de invasores denominados spyware que son contraídos no a través del intercambio de archivos entre usuarios sino a través de Internet, los daños causados por una infección son tales que las diferencias entre ambos resultan de poca importancia para quienes no son especialistas en el tema.
Las primeras víctimas de un posible ataque son quienes no tienen instalado un buen programa antivirus en su computadora, aunque de cualquier manera no son las únicas, ya que si el programa antivirus no cuenta con un servicio de actualización puede resultar inútil para reconocer las nuevas variantes que se están generando día con día de Spyware Protect 2009. Y aún así, aunque se tenga instalado un programa antivirus actualizado, la actualización sólo será útil después de que la existencia del virus sea conocida a través de las malas experiencias de los primeros que resulten ser afectados, así que no existe una garantía al 100 por ciento de que uno no tendrá un problema de estos algún día. Todos los programas antivirus que hay en la actualidad deben su base de datos de virus conocidos a las primeras víctimas a través de las cuales se dió a conocer el virus, las cuales pueden resultar millares dada la cantidad de gente conectada a Internet en un momento dado y dada la velocidad con la cual se puede propagar la infección.
Cuando al estar navegando por la Web uno sin quererlo entra en contacto con un enlace desde donde sin su conocimiento pueda descargar el virus, el primer síntoma de que algo está entrando en la máquina y no es posible detener su ingreso es que no es posible parar el proceso de instalación vía Internet con las herramientas usuales del sistema operativo. En el caso de Windows XP, la primera acción tomada por el usuario que desea detener el procedimiento de instalación podría ser abrir el “Administrador de Tareas” de Windows (Windows Task Manager) oprimiendo al mismo tiempo la combinación de teclas Ctrl-Alt-Del para localizar el proceso que se está ejecutando y tratar de detener la ejecución del proceso. Pero al tratar de hacer esto, el Administrador de Tareas no responde, es obligado a esperar mientras se continúa ejecutando el código de instalación. En una conexión de baja velocidad, siempre es posible desconectar la conexión telefónica a Internet con lo cual se interrumpe el proceso de descarga del virus, y al no terminar de descargar por completo la infección en proceso queda detenida. El problema es que la mayoría de las conexiones han dejado de ser las conexiones lentas de antaño y son ahora conexiones de alta velocidad (en México el servicio de alta velocidad es a través de Prodigy Infinitum), de modo que cuando se trata de reaccionar desconectando la conexión telefónica es ya demasiado tarde porque la descarga puede que no se lleve ni siquiera un minuto.
Hay otros síntomas de que una infección de Spyware Protect 2009 o un virus similar a éste ha ocurrido en una máquina. Como ya se señaló anteriormente, el primer síntoma obvio de que una computadora ha sido infectada con Spyware Protect 2009 es la aparición de ventanitas pop-up promocionando la compra y subscripción al producto, y esto ocurre aunque la opción de bloqueo de tales ventanitas en el navegador que se está utilizando haya sido activada. Las ventanitas le advierten hipócritamente al usuario que su computadora está en riesgo y que es urgente que compre el programa Spyware Protect 2009 para eliminar la infección. Dos de tales ventanitas de advertencia que insistirán en estar apareciendo convirtiéndose en un recordatorio molesto y constante son las siguientes:
Pero todas estas advertencias son una burla cruel, ya que Spyware Protect 2009 es precisamente uno de los peores infectores de todos, y enviarle el dinero a traves de tarjeta de crédito al maleante cibernético que está del otro lado no ayudará en nada, sólo lo hará más rico y agravará la intensidad de los ataques. Si el programa realmente cumpliera con lo que ofrece al ofertar protección en contra de intrusos espías no-autorizados instalados dentro de la máquina, Spyware Protect 2009 empezaría con el desinstalación total de sí mismo, ya que es el principal infector de todos.
Además de las ventanitas arriba mostradas que estarán apareciendo sin parar por sí solas en forma sumamente molesta con muy poco lapso de tiempo entre ellas, también aparecerá una ventana invocando el navegador (explorador, browser) de default que tenga instalado el sistema (Internet Explorer, Mozilla Firefox, Opera, Chrome, etc.) en donde bajo el domicilio de acceso en Internet que el navegador nos dice que está siendo accesado:
____http://browser-security.microsoft.com
____________/block.php?r=17.2
se nos mostrará lo siguiente (o algo parecido):
___Internet Explorer Warning - visiting this web site may harm your computer!
___Most likely causes:
___The website contains exploits that can launch a malicious code on your computer
___Suspicious network activity detected
___There might be an active spyware running on your computer
___What you can try:
___Purchase Spyware Protect 2009 for secure Internet surfing (Recommended).
___Check your computer for viruses and malware.
___More information.
Aquellos cuyo navegador de uso primario no sea Internet Explorer sino otro navegador como Mozilla Firefox quedarán extrañados ante el hecho de que “Internet Explorer” supuestamente les esté dando una advertencia, cuando debería ser el navegador Mozilla Firefox (u otro, el que estén usando) el que debería de darla. Esto dá una pista segura de que el navegador de uso primario en la máquina ha sido secuestrado bajo la suposición de que el navegador de uso primario en la máquina es Internet Explorer. Con esta página Web el navegador Internet Explorer está dando una alerta indicando desde un sitio supuestamente perteneciente a Microsoft que visitar algún otro sitio no especificado podría causar daños a la computadora, señalando como causas posibles (most likely causes) que: (1) El sitio contenga estrategias maliciosas capaces de lanzar código dañino a la computadora, (2) Se ha detectado actividades sospechosas en la red, (3) Podría estar corriendo dentro de la computadora un virus spyware activo. Y hechas las advertencias, se le recomienda al usuario incauto tratar de (1) Comprar Spyware Protect 2009 para navegación segura en Internet, (2) Checar la computadora para la presencia de virus informáticos, (3) Obtener más información.
Primero que nada es importante aclarar una cosa:
El sufijo del domicilio Internet que aparece en la página Web arriba citada:
____browser-security.microsoft.com
es un domicilio falso. La empresa Microsoft no mantiene dentro de su listado de direcciones en sus servidores conectados a Internet ninguna dirección con tales características. Esta es una estrategia engañosa para hacerle creer a la víctima que está siendo conducida automáticamente por el sistema operativo Windows instalado en su máquina hacia un sitio de Microsoft que le quiere advertir acerca de un riesgo detectado en su computadora, cuando en realidad la víctima está siendo arrastrada con este domicilio falso hasta las mismas máquinas de las mafias criminales que están lucrando con Spyware Protect 2009. El falso domicilio, en vez de conducir a un servidor de Microsoft dedicado a mejorar la seguridad del navegador (browser) Internet Explorer, conduce directamente a una de las máquinas de Spyware Protect 2009 en donde alguien posiblemente esté vigilando todo lo que está haciendo la víctima en su computadora, y si el usuario ha caído en la trampa de acceder a este domicilio esto será tan sólo el primer paso en instalarle en su máquina sin pedirle autorización alguna todo tipo de archivos maliciosos modificándole las bibliotecas de los registros de la máquina. El nombre y el prestigio de Microsoft están siendo usurpados sin autorización alguna dada por la empresa Microsoft al negocio criminal Spyware Protect 2009 para utilizar la marca registrada Microsoft en su invasión informática.
Escogiendo la primera opción de la página Web maliciosa (Purchase Spyware Protect 2009 for secure Internet surfing (Recommended)) le presentará a la víctima una página atractiva como la siguiente:
Si la víctima cae en la segunda opción (Check your computer for viruses and malware) verá abrirse una “ventana de trabajo” como la siguiente de acuerdo con la cual en su compuadora bajo la opción del botón “Perform scan” se llevará a cabo una revisión de la computadora para detectar virus y troyanos invasores espías dentro de la máquina.
Al irse llevando a cabo la supuesta inspección de la máquina, el programa criminal Spyware Protect 2009 le dirá a la víctima que está encontrando amenazas como las siguientes:
Y en caso de hacer el pago, la víctima no sólo les estará dando a los criminales parte de su dinero y el número de su tarjeta de crédito. Les estará dando también acceso a todas sus contraseñas en Internet (passwords) y a todo lo que está dentro de su máquina.
Otro síntoma claro de que algo sumamente maligno y extraño se ha apoderado de la máquina es la aparición en la bandeja (tray) de la barra de tareas de Windows (en el extremo inferior derecho de la pantalla) de un ícono pequeño representado como el escudo típico con las tres bandas usado por Spyware Protect 2009 para representarse a sí mismo, el cual no puede ser removido de la bandeja porque no ofrece opciones para ello.
Como ya se señaló también en la introducción a esta entrada, uno de los síntomas claros e inequívocos de que una computadora ha sido infectada con Spyware Protect 2009 es que si antes las conexiones a través de Internet se ejecutaban rápidamente de súbito ahora todo se empieza a llevar a cabo con una lentitud exasperante sin importar el navegador (también conocido como “explorador” o browser) que se esté utilizando, ya sea Internet Explorer, Mozilla Firefox o el Chrome de Google. La única conexión rápida permitida a Internet por el invasor es la que conecta a cualquiera de las páginas principales con que trabaja la empresa criminal Spyware Protect 2009; todo lo demás trabajará a una velocidad que parecerá cada vez más exasperantemente baja, lo cual dificultará intentar llevar a cabo la instalación o la actualización mediante Internet de un programa que se encargue de purgar el virus (esta es la principal motivación de los redactores del virus informático para bajar deliberadamente la velocidad de la conexión a Internet en todo lo demás que no tenga que ver directamente con los intrusos).
Dependiendo de la variante de Spyware Protect 2009 que haya entrado en la computadora, la infección puede (y tal vez lo hará) modificar el domicilio de Internet con el cual inicia el navegador del usuario sus operaciones (homepage) que para muchos usando computadoras no-infectadas puede ser Yahoo! o Google o cualquier otro domicilio con el que quiera empezar a navegar en Internet al abrir el navegador.
El troyano malicioso encargado de abrirle la puerta de la computadora a la empresa criminal Spyware Protect 2009 es conocido bajo distintos nombres según la empresa a la que le ha tocado manejarlo o estudiarlo. Algunos de sus muchos nombres son los siguientes:
Bajo cualquier nombre, sigue siendo la misma cosa. Y se debe tener en cuenta que se trata de un virus que está siendo evolucionado por sus creadores para hacerlo cada vez más difícil de desinstalar de una máquina; esta es la razón por la cual en la lista limitada de arriba aparece con distintos nombres.
Las nuevas generaciones de virus informáticos potentes como Spyware Protect 2009 están incorporando dentro de sus paquetes infectores a troyanos viejos que ya existían desde antes de la aparición de Spyware Protect 2009, y no es inusual ser infectado con alguna variante que incorpore a cinco, diez o inclusive veinte o más troyanos diferentes, de modo tal que aunque los archivos infectores principales puedan ser removidos manualmente siempre puede quedar algo remanente que active el troyano número 1, y los redactores del virus previendo que el usuario pueda remover manualmente el troyano número 1 tal vez habrán anticipado tal acción elaborando algo que permitirá entrar en acción el troyano número 2, y así sucesivamente, dificultando aunque no haciendo imposible la labor de limpiar a la computadora de una infección de esta naturaleza. El hacker criminal que ha hecho hábito suyo atacar las computadoras de otros a través de Internet intenta al construír su paquete malicioso anticipar todas las medidas correctivas que el usuario tratará de tomar por cuenta propia, y tratará de mantenerse un paso adelante de él aunque no tenga acceso remoto a la computadora infectada.
Puesto que Spyware Protect 2009 es esencialmente un fraude en el que se están moviendo grandes cantidades de dinero obtenidas de los usuarios que son estafados, es posible que países como Estados Unidos e Inglaterra a través de agencias investigadoras como el FBI y Scotland Yard estén tomando ya cartas en el asunto. Pero mientras hacen algo, hay que hacer algo con las infecciones que ya se están dando y para lo cual las agencias gubernamentales proporcionan muy poca ayuda.
A los usuarios con alguna experiencia previa en la desinstalación de programas tal vez se les ocurra llevar a cabo la remoción automática de Spyware Protect 2009 recurriendo al mismo sistema operativo Windows, empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva al “Panel de Control” (Control Panel) que a su vez nos lleva al ícono “Agregar o quitar programas” que a su vez nos prepara una lista de “Programas actualmente instalados” registrados por Windows XP y que pueden ser removidos. Si el afectado cayó en la trampa de enviar su dinero y registrarse ante la empresa fantasma Spyware Protect para instalar esta peste en su totalidad, posiblemente descubrirá que la línea Spyware Protect 2009 no aparece en la lista de “Programas actualmente instalados” y por lo tanto no puede ser removido con este recurso. En otras mutaciones del programa viral, aunque la línea Spyware Protect 2009 sí aparece en la lista de “Programas actualmente instalados” el afectado descubrirá que si trata de remover el programa la computadora se congelará impidiéndole la remoción o simplemente se negará a hacerlo sacándolo completamente fuera de la ventana de “Agregar o quitar programas” si trata de hacerlo. Hay mil maneras en la cual el invasor se puede proteger a sí mismo para evitar su remoción a través de este recurso de Windows. Tratar de eliminar Spyware Protect 2009 con “Agregar o quitar programas” puede terminar siendo una pérdida de tiempo.
Otra cosa que se les podría ocurrir a los usuarios con alguna experiencia previa en el restablecimiento del sistema operativo de la computadora con el fin de volver la computadora al modo de operación que tenía a una fecha previa a la fecha en que se llevó a cabo la infección tal vez sería intentar llevar a cabo la “Restauración del Sistema” (System Restore), la cual se lleva a cabo empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva a la línea “Todos los programas” (All Programs) que a su vez nos lleva a la opción “Accesorios” (Accessories) que a su vez nos lleva a la opción “Herramientas del sistema” (System Tools) dentro de la cual encontramos “Restaurar sistema” (System Restore) que nos abre una ventana como la siguiente:
El uso de esta herramienta presupone que en el calendario mostrado hay un Punto de Retorno (Restore Point) al cual se puede regresar. Si no hay punto de retorno alguno en el calendario no se puede llevar a cabo un regreso de las condiciones de la máquina a una fecha previa excepto la misma fecha en la cual se instaló el sistema operativo Windows XP por primera vez en el disco duro de la máquina en cuyo caso es preferible reinstalar Windows XP de nuevo con los discos CD-ROM de instalación. Supuestamente, al llevar a cabo una restauración del sistema, Windows XP compara los archivos puestos después del punto de restauración con los archivos que había antes del punto de restauración (de los cuales Windows XP tiene una copia completa) y Windows se encarga de borrar los archivos que habían sido añadidos después del punto de restauración así reponer los archivos que fueron borrados (sin embargo, aunque todos los programas que hayan sido instalados despues de una fecha específica de un punto de restauración serán borrados y tendrán que ser reinstalados en caso de devolver a la máquina a la condición que tenía antes del punto de restauración, esto no será de ayuda alguna para reinstalar programas completos que hayan sido ya desinstalados de la máquina por el usuario tales como los programas comerciales Adobe Acrobat y Photoshop). Una cosa importante a tener en cuenta es que después de haberse llevado a cabo una restauración del sistema siempre es posible deshacer la restauración, los cambios hechos por la restauración del sistema son reversibles. Sin embargo, habrá que volver a instalar todos aquellos programas que habían sido instalados después del punto de restauración. Aunque esto (la restauración del sistema a un punto previo) era posible en las primeras versiones preliminares de Spyware Protect 2009, con las nuevas y mas potentes versiones de ataque de este virus maligno esto ya no es posible. Si el usuario infectado con este virus intenta llevar a cabo una restauración del sistema, descubrirá que al llegar al paso final oprimiendo el botón “Aceptar” el proceso de restauración quedará congelado sin ir a ninguna parte. Esto es el resultado directo de la acción del virus que está bloqueando los intentos del afectado por llevar a cabo una restauración del sistema que eliminaría los archivos infectados agregados al sistema por el virus. Una cosa que podría funcionar en este caso sería arrancar las operaciones de la máquina en “Modo Seguro” (Safe Mode) oprimiendo la tecla F8 al encender la máquina justo cuando se escucha el sonido “biip” que indica que Windows XP está a punto de ser cargado en la memoria RAM de la computadora. Pero las nuevas mutaciones del virus tal vez vuelvan imposible intentar llevar a cabo de manera automática con la ayuda de Windows XP una restauración del sistema aún iniciando en “Modo Seguro”, todo depende de la variante del virus que se haya instalado en la máquina; hay que estar preparados para todo. Con lo que hemos visto, debe ser obvio que el tratar de eliminar las mutaciones más recientes del virus Spyware Protect 2009 con el recurso “Restaurar sistema” de Windows XP también puede terminar siendo una pérdida de tiempo ya que el virus no lo permitirá. En relación al uso de la herramienta de restauración del sistema un documento que el usuario tal vez quiera leer es el siguiente:
__http://www.microsoft.com/windowsxp/using/helpandsupport
_ __/getstarted/ballew_03may19.mspx
Precisamente porque las versiones más actualizadas del virus Spyware Protect 2009 poseen ya poderosos mecanismos de defensa para impedir que pueda ser borrado fácilmente de una computadora aún con la ayuda de los recursos de Windows tales como “Restauración del Sistema” y con la ayuda de los más actualizados programas anti-virus que tenga instalada la computadora infectada se requiere toda una metodología de ataque contra el virus como la que estaremos desarrollando en este documento. Y esta es una metodología en la cual el usuario afectado lleva a cabo por cuenta propia o con la ayuda de alguien familiarizado en el sistema operativo Windows la remoción manual de la infección. Esta metodología se detalla en la entrada “La remoción manual del virus Spyware Protect” que forma parte de esta bitácora.
Como mínimo, Spyware Protect 2009 en su versión original más generalizada efectúa sobre la máquina que está infectando las siguientes acciones:
1) Instala con la ayuda de un troyano que le abre la puerta de entrada a la máquina el programa infector principal sysguard.exe o un equivalente del mismo.
2) Modifica la base de datos de los componentes add-ons del navegador (browser) nativo de Windows, el Internet Explorer, para estar invocando cada vez que sea encendida la computadora otro archivo invasor llamado iehelper.dll o un equivalente del mismo.
3) Modifica por lo menos una de las entradas del componente del sistema operativo Windows conocido como el Registro (Registry) para echar a andar el principal programa infector sysguard.exe o un equivalente del mismo cada vez que la máquina sea encendida.
4) Modifica un archivo poco conocido dentro de Windows llamado hosts añadiendo una entrada extra que simula ser un sitio de Microsoft cuando en realidad se trata de algo que provoca que la computadora infectada se esté tratando de conectar constantemente con los criminales que desde una computadora remota desean enterarse de lo que está haciendo cada una de sus víctimas alrededor del mundo. Esta es precisamente una de las modificaciones que disminuye considerablemente la velocidad de la conexión de la computadora a Internet.
Además de lo anterior y dependiendo de la variante del virus que se tenga, se puede crear dentro de la computadora infectada una copia idéntica del principal archivo invasor sysguard.exe asignándole un nuevo nombre y poniendo la copia en otra parte de la computadora para ser usada en caso de que la víctima pueda encontrar y borrar por sí misma el principal archivo infector sysguard.exe, con lo cual el virus puede reestablecerse a sí mismo una y otra vez en la computadora replicándose de la copia de emergencia que ha creado de sí mismo en otra parte dentro de la máquina y cuya existencia el usuario ignora. Al hacer esta réplica de sí mismo, el archivo infector está actuando igual que un verdadero virus biológico que es incapaz de reproducirse por sí mismo y que necesita infectar una célula y usurpar su maquinaria reproductora de ADN para poder producir copias de sí mismo, aunque para poder subsistir dentro de la computadora el infector no necesita hacer copias múltiples, le basta con hacer una sola copia escondiendo dicha copia bajo otro nombre y de preferencia guardándola en otra carpeta diferente. Esta acción de replicación puede ser suplementada con la instalación de otros archivos infectores de apoyo mutuo que se ayuden entre sí el uno al otro en forma coordinada para impedir que la víctima se pueda deshacer fácilmente de la infección, de modo tal que si la víctima borra cualquiera de los archivos o inclusive dos o tres de ellos, los demás se dan cuenta de lo que ha ocurrido y entran en acción para restaurar los archivos borrados. Dependiendo de lo que haya borrado el usuario, tal vez ni siquiera se requiera tener la máquina conectada a Internet para que la infección se puede restaurar a sí misma con el solo hecho de encender la computadora, pero si la remoción manual del virus llevada a cabo por el usuario es tal que el virus requiere forzosamente recuperar algunos archivos a través de Internet, tal cosa no la podrá lograr mientras la máquina esté desconectada de la línea telefónica que la conecta a Internet. La desconexión de la máquina de la toma telefónica es el primer paso prioritario requerido para impedir que la infección informática se pueda afianzar en la máquina al darse cuenta los invasores desde otro lado del mundo lo que se les está tratando de hacer.
¿Qué es lo que mete en su computadora una persona asustada que es convencida por los hipócritas mensajes de advertencia que le recuerdan constantemente con ventanas emergentes que se ha detectado que su máquina está infectada y que es urgente que compre el paquete Spyware Protect 2009, enviándoles el pago de 50 dólares cargado a su tarjeta de crédito?
Al cometer el grave error de sucumbir a los mensajes de advertencia de Spyware Protect 2009 enviados por el intruso a través de la injerencia no autorizada en la máquina del infector maligno sysguard.exe con el envío del pago pedido para completar el procedimiento de instalación, se crea dentro de la maquina una carpeta que puede estar titulada como Spyware Protect 2009 puesta dentro de la carpeta “Archivos de programa” (Program Files) situada dentro del disco duro de la máquina representado como “C:”, todo lo cual se representa a la vieja usanza del sistema operativo de línea de comandos DOS con una ruta como la siguiente:
__C:\Archivos de programa\Spyware Protect 2009
dentro de la cual se puede depositar material pernicioso como el siguiente:
C:\Archivos de programa\Spyware Protect 2009\gfx.bin
C:\Archivos de programa\Spyware Protect 2009\lang
C:\Archivos de programa\Spyware Protect 2009\lang\english.lng
C:\Archivos de programa\Spyware Protect 2009\options.ini
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe.MANIFEST
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009_start_setup.exe
C:\Archivos de programa\Spyware Protect 2009\tp_starter.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.log
C:\Archivos de programa\Spyware Protect 2009\vbase.ini
El archivo infector inicial sysguard.exe en realidad solo es un vehículo para darle entrada a otro programa todavía peor, el programa
__SpywareProtect2009.exe
junto con su programa acompañante, un archivo tipo MANIFEST (un archivo MANIFEST es un archivo contenido dentro de otro archivo tipo JAR para ser utilizado en el entorno de una plataforma Java con la cual operan varios navegadores en Internet):
__SpywareProtect2009.exe.MANIFEST
todo lo cual se ejecutará cada vez que se encienda la máquina.
Además de lo anterior, se depositarán en la carpeta WINDOWS algunos (o todos) de los siguientes archivos además de otros nuevos que se puedan depositar (en nuevas versiones del paquete de infección los nombres están siendo cambiados constantemente para que no le sea fácil a la víctima identificarlos a menos que verifique si la fecha en la cual fueron metidos los archivos infectores coincide con la fecha y la hora en la cual se llevó a cabo el pago y la instalación del paquete completo de Spyware Protect 2009:
C:\WINDOWS\system32\vbzlib2.dll
C:\WINDOWS\aazalirt.exe
C:\WINDOWS\dkekkrkska.exe
C:\WINDOWS\dkewiizkjdks.exe
C:\WINDOWS\iddqdops.exe
C:\WINDOWS\ienotas.exe
C:\WINDOWS\iqmcnoeqz.exe
C:\WINDOWS\irprokwks.exe
C:\WINDOWS\jikglond.exe
C:\WINDOWS\jiklagka.exe
C:\WINDOWS\jrjakdsd.exe
C:\WINDOWS\jungertab.exe
C:\WINDOWS\kitiiwhaas.exe
C:\WINDOWS\kkwknrbsggeg.exe
C:\WINDOWS\klopnidret.exe
C:\WINDOWS\krkdkdkee.exe
C:\WINDOWS\krkmahejdk.exe
C:\WINDOWS\krtawefg.exe
C:\WINDOWS\krujmmwlrra.exe
C:\WINDOWS\ktknamwerr.exe
C:\WINDOWS\kuruhccdsdd.exe
C:\WINDOWS\ooorjaas.exe
C:\WINDOWS\oranerkka.exe
C:\WINDOWS\oropbbsee.exe
C:\WINDOWS\otnnbektre.exe
C:\WINDOWS\otowjdseww.exe
C:\WINDOWS\otpeppggq.exe
C:\WINDOWS\rkaskssd.exe
C:\WINDOWS\ronitfst.exe
C:\WINDOWS\seeukluba.exe
C:\WINDOWS\skaaanret.exe
C:\WINDOWS\sysguardn.exe
C:\WINDOWS\tobmygers.exe
C:\WINDOWS\tobykke.exe
C:\WINDOWS\zibaglertz.exe
Para usurpar los recursos del sistema, las nuevas familias de virus propagables via Internet no solo utilizan varios programas ejecutables instalados por el intruso dentro de la máquina el día que ocurrió la infección trabajando ya sea independientemente o en forma coordinada dentro de la máquina, sino también recurren a las mismas herramientas proporcionadas por Microsoft al usuario para darle (supuestamente) mejores opciones para navegar por Internet con su navegador Internet Explorer integrado al sistema operativo Windows. Una de tales opciones son los “Browser Helper Objects” (BHO), los cuales son librerias de enlace dinámico (dynamic link libraries ó dll), los cuales son agregados como complementos conocidos como “add-ons” y los cuales se cargan automáticamente cada vez que la máquina es encendida. Al intruso le es posible entrar en acción después de haber instalado en la máquina infiltrada sus propios “add-ons”. El problema con los complementos “add-ons” no es con aquellos instalados por los programas legítimamente instalados con autorización previa dada por el usuario y cuyo funcionamiento es transparente en todo momento, sino con los complementos “add-ons” instalados y utilizados por los programas maliciosos que utilizan esta vulnerabilidad del sistema para instalarse en la máquina desde un principio sin el conocimiento ni la autorización del usuario para de allí en delante causar todo tipo de estragos. Estos aditamentos maliciosos tiene que ser escritos por un programados experto utilizando un lenguaje de bajo nivel como C++, tras lo cual deben ser compilados para ser convertidos en un “Browser Helper Object”. Podemos ver la lista completa de los “add-ons” que la máquina tiene instalada con el siguiente procedimiento:
1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.
2) En la línea del menú del Internet Explorer, nos vamos a la opción “Tools” y de allí seleccionamos la sub-opción “Manage Add-ons”:
Esto nos dá acceso a la herramienta “Add-ons Manager” de Internet Explorer, titulada “Manage Add-ons”.
3) En la cajita “Show” seleccionamos el conjunto de complementos “add-ons” que queremos ver:
Desde aquí mismo podemos desactivar cualquier complemento “add-on” que nos parezca sospechoso. Naturalmente, esto no precluye la posibilidad de que al volver a encenderse la máquina los programas maliciosos instalados en la misma puedan volver a activar nuevamente sus entradas puestas en el “Add-ons Manager” al darse cuenta de que han sido desactivas por el usuario. Esta es una de las razones por las cuales la primera prioridad en combatir una infección informática consiste en la detección y eliminación de todos los programas ejecutables puestos por el invasor dentro de la máquina.
Los ejemplos mostrados para la desactivación de complementos “add-ons” son válidos para una de las más recientes versiones de Internet Explorer en inglés. En caso de estar utilizando una computadora con su sistema operativo Windows trabajando en español, el procedimiento sería el siguiente:
1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.
2) En la línea del menú del Internet Explorer, nos vamos a la opción “Herramientas” y de allí seleccionamos la sub-opción “Administrar complementos”.
3) Una vez adentro de la ventana utilizada para administrar complementos, seleccionamos la opción “Habilitar o deshabilitar complementos” con lo que se nos muestra lo siguiente:
Aunque en la gran mayoría de los casos las infecciones virales informáticas obtenidas por la vía de Internet entran a través de un troyano, también puede ocurrir con menor frecuencia que la víctima contraiga la infección informática visitando a través de algún enlace intermedio cualquiera de los domicilios utilizados por la empresa criminal para promocionar y vender su producto. Algunos de estos domicilios son (constantemente son alterados, borrados y vueltos a establecer con el fin de confundir a las autoridades):
__www.swp2009.com
__www.spyprotect2009.com
__www.sp-protect2009.com
__sp-protect2009.com
__sys-protection.com
__sysguard2009.com
__os-protection.com
__spy-protect-2009.com
__spywprotect.com
__adwareguard.net
__antivirus-win.com
__spywrprotect-2009.com
__sysprotect.net
__spwprotect2009.com
__Sp-protect2009.com
__Spyprotect2009.com
__Swp2009.com
Tras la reparación de los daños y la reinstalación cada uno de los navegadores que se vayan a utilizar, tal vez algunos usuarios acostumbrados a utilizar el navegador Internet Explorer nativo de Windows intenten llevar a cabo un bloqueo de los sitios anteriores, siendo esta una de las opciones que ofrece el Internet Explorer. Sin embargo, tal vez ésto no sea práctico porque la lista de sitios que constantemente están siendo inventados por la banda criminal detrás de Spyware Protect 2009 va creciendo día con día, constantemente se inventan nuevos nombres y se desactivan unos que ya habían sido creados sólo para ser reactivados nuevamente unos cuantos días e inclusive horas después. Por otro lado, navegadores como Mozilla Firefox no traen instalada consigo esta capacidad para poder bloquear sitios de los cuales conocemos su dirección, se le tiene que agregar al navegador a través de un add-on. Mozilla Firefox permite la instalación de add-ons a través de la línea del menú en la opción “Herramientas” (Tools) en donde podemos encontrar algunos add-ons recomendados para otros propósitos. Podemos encontrar información adicional sobre esto último en el siguiente enlace:
___http://kb.mozillazine.org/Parental_controls
Sin embargo, considerando las malas experiencias que la instalación de add-ons está ocasionando a los usuarios del navegador Internet Explorer, no es recomendable agregar absolutamente nada a un navegador de alta seguridad como el Mozilla Firefox mucho más de lo que ya traía consigo al momento de ser instalado (o reinstalado). No a menos de que tengamos la certeza absoluta de que el add-on proviene de una compañía seria y responsable y de que no lo estamos obteniendo de un sitio impostor.
Complicando aún más las cosas para el usuario que ha sufrido el ataque de un virus informático está la deshonestidad o la falta de apoyo con la cual operan los fabricantes de paquetes antivirales, incluídos algunos de los más conocidos, empresas que se supone serias y responsables de las cuales omitiré sus nombres porque dichas empresas son de sobra conocidas. En casi todos los paquetes vendidos por tales empresas el usuario en caso de ser víctima de un ataque pronto descubre que está más solo y desprotegido de lo que se imagina, aunque haya comprado un paquete legal de protección antivirus pagando lo que se le pide por el costo de la licencia anual. Si el afectado cae víctima de un ataque informático, al tratar de procurar ayuda de cualquiera de dichas empresas descubrirá que tal ayuda tiene un costo monetario extra que no estaba incluído en la licencia, le dirán lo mucho que le conviene contratar algún servicio de soporte técnico como “Platinum Plus” o algo similar pagando algo así como 80 dólares la hora, de modo tal que si la infección es severa y le lleva unas diez horas el liberar su máquina con esta ayuda especializada el costo de 800 dólares posiblemente superará lo que pagó por su máquina, y estas empresas deliberadamente omiten incluír en sus bases de datos procedimientos de remoción manual de infecciones como los que se dan en este trabajo precisamente para forzar a sus clientes a contratar esos servicios de costo extra, o bien dejarlo solo a la deriva. Y a cambio de la instalación de un paquete antivirus legal tras el pago de la licencia anual, el usuario seguramente obtendrá al prescribir el término de su licencia una aparición constante y repetitiva de mensajes recordándole que la “protección” dada por su paquete ha prescrito y que la tiene que renovar, mensajes que para su aparición cronometrada le roban a la máquina velocidad al estarle robando muchos ciclos de máquina consumidos en el conteo de reloj. Y aún hay otras empresas “serias” todavía más deshonestas que al detener una infección en lugar de remover al archivo infector y borrarlo lo “cuarentenan” (File has been quarantined), de modo tal que si el usuario decide sacar fuera de su computadora al paquete antivirus entonces en represalia por romper las cadenas lo que estaba en cuarentena ya no estará en cuarentena y será liberado para que ocasione destrucción, que al fin y al cabo los fabricantes de estos programas antivirales siempre pueden alegar que fue un error del usuario y no de ellos el haber tratado de sacar el programa antivirus de la máquina. Si para algo han servido las infecciones virales informáticas como Spyware Protect 2009, además de exponer las numerosas deficiencias de las que adolecen los sistemas operativos Windows XP y Windows Vista, es para exponer a la luz del día la deshonestidad abierta o encubierta de todos los fabricantes de paquetes antivirales. Es precisamente por cosas como éstas que muchos usuarios que han pagado por licencias de “protección” antiviral terminan en los foros de chat de Internet pidiendo ayuda para sus problemas, porque no reciben apoyo y soporte libre de costo de la empresa que les vendió el programa antivirus. ¡Y todavía así es mucho lo que se quejan estas empresas al hablar acerca de la deshonestidad involucrada en la piratería informática que las priva de ganancias cuando ellas mismas actúan de manera tan deshonesta!
En caso de haber purgado manualmente una infección informática como la causada por Spyware Protect 2009 con los procedimientos que son detallados en las demás entradas de esta bitácora, y en caso de persistir los problemas, podemos suponer que como consecuencia de la infección original se han infectado archivos propios del mismo sistema operativo Windows XP, archivos que no pueden ni deben ser borrados por el usuario puesto que son archivos que Windows XP necesita para poder funcionar. En tal caso, no queda más remedio que volver a instalar en la máquina el sistema operativo Windows XP, para lo cual apagamos la computadora y la volvemos a encender en Modo Seguro (Safe Mode) oprimiendo la tecla F8, echando a andar la instalación del Windows XP con la ayuda del CD-ROM de instalación que venía con la máquina al momento de ser vendida (algunas máquinas nuevas no incluyen el disco CD-ROM de instalación de Windows XP pero tienen la opción de crear tal disco por una sola y única ocasión en una copia para el Windows XP instalado en la máquina). Espero, desde luego, que al comprar su máquina los afectados hayan tenido la precaución de conservar esos discos originales de instalación de Windows XP o de que hayan hecho sus discos de reserva, porque si no estarán en serios problemas tarde o temprano.
Podemos obtener información detallada en la Wikipedia sobre infecciones virales informáticas malware como las ocasionadas por Spyware Protect 2009 en el siguiente enlace:
___http://en.wikipedia.org/wiki/Malware
Un sitio que vale la pena visitar cuando se tienen problemas con Spyware Protect 2009 es el siguiente sitio de la empresa ThreatExpert que contiene información técnica sobre una de las más propagadas variantes del virus, aquella que fue identificada el 24 de febrero de 2009.
___http://www.threatexpert.com
______/report.aspx?md5=f42ecaab6442d21e4beba274875d882b
Podemos obtener mayor información acerca de los aditamentos complemento add-ons del Internet Explorer conocidos como “Browser Helper Objects” en la siguiente dirección de Wikipedia:
___http://en.wikipedia.org/wiki/Browser_Helper_Object
Hemos visto lo que es Spyware Protect 2009. En las entradas restantes de este documento veremos cómo podemos liberar a una máquina que haya sido infectada por este peligroso y destructivo parásito.
Pero antes de entrar en materia, es necesario hablar un poco acerca de lo que es Spyware Protect 2009.
Spyware Protect 2009, también conocido como SpywareProtect2009, SpywareProtect 2009 y Spyware Protect2009 (obsérvese que la diferencia está únicamente en los espacios en blanco entre las palabras) es un programa anti-espía falso que muestra un icono en la bandeja de la computadora infectada (en el extremo inferior derecho) indicando que el equipo está infectado por un programa espía, una advertencia que tal vez sea el peor de los cinismos. Spyware Protect 2009 utilizará mensajes de seguridad falsos para incitarle a la víctima a descargar su software completo y le animará a comprar la versión completa de Spyware Protect 2009. Spyware Protect 2009 es un clon de XLG Privacy Control Center cuya ventana una vez instalado en Windows XP tenía el siguiente aspecto:
El “XLG Privacy Control Center” trabajaba usando el código del programa malicioso AVScan utilizado ahora por Spyware Protect 2009 que no ofrece protección alguna contra nada y por el contrario es una de las peores amenazas que enfrenta hoy el usuario de Internet. Una variante de dicho programa la encontramos también en otro paquete promocionado bajo el nombre Antivirus 2009. Quienes caían en la trampa de pagar por la subscripción de este último, al tenerlo instalado en su máquina y al tenerlo operando podían ver una ventana como la siguiente con la cual el programa les informaba que supuestamente estaba detectando y estaba eliminando programas espías instalados dentro de la máquina:
Pero todo esto es una ilusión porque estos programas forjados por empresas criminales e instalados inicialmente en las máquinas a través de tácticas de intimidación y chantaje en realidad no hacen nada de lo que dicen estar haciendo, ciertamente no sirven para remover otras infecciones informáticas virales contraídas a través de Internet, lo único para lo que podrían servir es para remover de una máquina la principal infección de todas, ellos mismos, y esto no lo van a hacer, al menos no mientras les esté entrando mucho dinero en los bolsillos de parte de sus subscriptores a los cuales les están “vendiendo protección” al estilo de como solían hacerlo las mafias de Chicago a los pequeños negocios y empresarios a fin de que no les fuera a ocurrir nada malo. Dada la enorme similitud en los procedimientos de ataque utilizados tanto por el “XLG Privacy Control Center”, el “Antivirus 2009” y ahora Spyware Protect 2009, lo más probable es que en los tres casos se trate del mismo grupo criminal manteniendo sus materiales al día bajo nombres distintos y acaudalando enormes fortunas al hacerlo.
Spyware Protect 2009 intenta entrar por vez primera a una máquina desprotegida a través de un troyano obtenido de varias maneras, por ejemplo al llevarse a cargo la descarga automática de codecs para ver alguna película proveniente de Internet (esto último es una mala costumbre del Windows Media Player que debería ser corregida o parchada). Una vez instalado en la máquina, el paquete infector inicial de Spyware Protect 2009 será ejecutado cada vez que se inicie Windows, y su presencia será obvia al aparecer en la pantalla una cantidad excesiva de ventanas emergentes publicitarias “pop-up” alertando al incauto de que su máquina está en peligro y que es indispensable que compre la versión completa de Spyware Protect 2009, sin que el incauto sepa que se trata de una trampa que sólo empeorará mil veces las cosas. A menos de que se haga un trabajo meticuloso, Spyware Protect 2009 puede ser difícil de eliminar manualmente porque tiene la capacidad de volver a surgir.
Aunque Spyware Protect 2009 no es considerado por los especialistas como un virus propiamente dicho, sino como una clase de invasores denominados spyware que son contraídos no a través del intercambio de archivos entre usuarios sino a través de Internet, los daños causados por una infección son tales que las diferencias entre ambos resultan de poca importancia para quienes no son especialistas en el tema.
Las primeras víctimas de un posible ataque son quienes no tienen instalado un buen programa antivirus en su computadora, aunque de cualquier manera no son las únicas, ya que si el programa antivirus no cuenta con un servicio de actualización puede resultar inútil para reconocer las nuevas variantes que se están generando día con día de Spyware Protect 2009. Y aún así, aunque se tenga instalado un programa antivirus actualizado, la actualización sólo será útil después de que la existencia del virus sea conocida a través de las malas experiencias de los primeros que resulten ser afectados, así que no existe una garantía al 100 por ciento de que uno no tendrá un problema de estos algún día. Todos los programas antivirus que hay en la actualidad deben su base de datos de virus conocidos a las primeras víctimas a través de las cuales se dió a conocer el virus, las cuales pueden resultar millares dada la cantidad de gente conectada a Internet en un momento dado y dada la velocidad con la cual se puede propagar la infección.
Cuando al estar navegando por la Web uno sin quererlo entra en contacto con un enlace desde donde sin su conocimiento pueda descargar el virus, el primer síntoma de que algo está entrando en la máquina y no es posible detener su ingreso es que no es posible parar el proceso de instalación vía Internet con las herramientas usuales del sistema operativo. En el caso de Windows XP, la primera acción tomada por el usuario que desea detener el procedimiento de instalación podría ser abrir el “Administrador de Tareas” de Windows (Windows Task Manager) oprimiendo al mismo tiempo la combinación de teclas Ctrl-Alt-Del para localizar el proceso que se está ejecutando y tratar de detener la ejecución del proceso. Pero al tratar de hacer esto, el Administrador de Tareas no responde, es obligado a esperar mientras se continúa ejecutando el código de instalación. En una conexión de baja velocidad, siempre es posible desconectar la conexión telefónica a Internet con lo cual se interrumpe el proceso de descarga del virus, y al no terminar de descargar por completo la infección en proceso queda detenida. El problema es que la mayoría de las conexiones han dejado de ser las conexiones lentas de antaño y son ahora conexiones de alta velocidad (en México el servicio de alta velocidad es a través de Prodigy Infinitum), de modo que cuando se trata de reaccionar desconectando la conexión telefónica es ya demasiado tarde porque la descarga puede que no se lleve ni siquiera un minuto.
Hay otros síntomas de que una infección de Spyware Protect 2009 o un virus similar a éste ha ocurrido en una máquina. Como ya se señaló anteriormente, el primer síntoma obvio de que una computadora ha sido infectada con Spyware Protect 2009 es la aparición de ventanitas pop-up promocionando la compra y subscripción al producto, y esto ocurre aunque la opción de bloqueo de tales ventanitas en el navegador que se está utilizando haya sido activada. Las ventanitas le advierten hipócritamente al usuario que su computadora está en riesgo y que es urgente que compre el programa Spyware Protect 2009 para eliminar la infección. Dos de tales ventanitas de advertencia que insistirán en estar apareciendo convirtiéndose en un recordatorio molesto y constante son las siguientes:
Pero todas estas advertencias son una burla cruel, ya que Spyware Protect 2009 es precisamente uno de los peores infectores de todos, y enviarle el dinero a traves de tarjeta de crédito al maleante cibernético que está del otro lado no ayudará en nada, sólo lo hará más rico y agravará la intensidad de los ataques. Si el programa realmente cumpliera con lo que ofrece al ofertar protección en contra de intrusos espías no-autorizados instalados dentro de la máquina, Spyware Protect 2009 empezaría con el desinstalación total de sí mismo, ya que es el principal infector de todos.
Además de las ventanitas arriba mostradas que estarán apareciendo sin parar por sí solas en forma sumamente molesta con muy poco lapso de tiempo entre ellas, también aparecerá una ventana invocando el navegador (explorador, browser) de default que tenga instalado el sistema (Internet Explorer, Mozilla Firefox, Opera, Chrome, etc.) en donde bajo el domicilio de acceso en Internet que el navegador nos dice que está siendo accesado:
____http://browser-security.microsoft.com
____________/block.php?r=17.2
se nos mostrará lo siguiente (o algo parecido):
___Internet Explorer Warning - visiting this web site may harm your computer!
___Most likely causes:
___The website contains exploits that can launch a malicious code on your computer
___Suspicious network activity detected
___There might be an active spyware running on your computer
___What you can try:
___Purchase Spyware Protect 2009 for secure Internet surfing (Recommended).
___Check your computer for viruses and malware.
___More information.
Aquellos cuyo navegador de uso primario no sea Internet Explorer sino otro navegador como Mozilla Firefox quedarán extrañados ante el hecho de que “Internet Explorer” supuestamente les esté dando una advertencia, cuando debería ser el navegador Mozilla Firefox (u otro, el que estén usando) el que debería de darla. Esto dá una pista segura de que el navegador de uso primario en la máquina ha sido secuestrado bajo la suposición de que el navegador de uso primario en la máquina es Internet Explorer. Con esta página Web el navegador Internet Explorer está dando una alerta indicando desde un sitio supuestamente perteneciente a Microsoft que visitar algún otro sitio no especificado podría causar daños a la computadora, señalando como causas posibles (most likely causes) que: (1) El sitio contenga estrategias maliciosas capaces de lanzar código dañino a la computadora, (2) Se ha detectado actividades sospechosas en la red, (3) Podría estar corriendo dentro de la computadora un virus spyware activo. Y hechas las advertencias, se le recomienda al usuario incauto tratar de (1) Comprar Spyware Protect 2009 para navegación segura en Internet, (2) Checar la computadora para la presencia de virus informáticos, (3) Obtener más información.
Primero que nada es importante aclarar una cosa:
El sufijo del domicilio Internet que aparece en la página Web arriba citada:
____browser-security.microsoft.com
es un domicilio falso. La empresa Microsoft no mantiene dentro de su listado de direcciones en sus servidores conectados a Internet ninguna dirección con tales características. Esta es una estrategia engañosa para hacerle creer a la víctima que está siendo conducida automáticamente por el sistema operativo Windows instalado en su máquina hacia un sitio de Microsoft que le quiere advertir acerca de un riesgo detectado en su computadora, cuando en realidad la víctima está siendo arrastrada con este domicilio falso hasta las mismas máquinas de las mafias criminales que están lucrando con Spyware Protect 2009. El falso domicilio, en vez de conducir a un servidor de Microsoft dedicado a mejorar la seguridad del navegador (browser) Internet Explorer, conduce directamente a una de las máquinas de Spyware Protect 2009 en donde alguien posiblemente esté vigilando todo lo que está haciendo la víctima en su computadora, y si el usuario ha caído en la trampa de acceder a este domicilio esto será tan sólo el primer paso en instalarle en su máquina sin pedirle autorización alguna todo tipo de archivos maliciosos modificándole las bibliotecas de los registros de la máquina. El nombre y el prestigio de Microsoft están siendo usurpados sin autorización alguna dada por la empresa Microsoft al negocio criminal Spyware Protect 2009 para utilizar la marca registrada Microsoft en su invasión informática.
Escogiendo la primera opción de la página Web maliciosa (Purchase Spyware Protect 2009 for secure Internet surfing (Recommended)) le presentará a la víctima una página atractiva como la siguiente:
Si la víctima cae en la segunda opción (Check your computer for viruses and malware) verá abrirse una “ventana de trabajo” como la siguiente de acuerdo con la cual en su compuadora bajo la opción del botón “Perform scan” se llevará a cabo una revisión de la computadora para detectar virus y troyanos invasores espías dentro de la máquina.
Al irse llevando a cabo la supuesta inspección de la máquina, el programa criminal Spyware Protect 2009 le dirá a la víctima que está encontrando amenazas como las siguientes:
LdPinch VPero todo esto es falso, muy posiblemente el usuario no tenga nada de esto en su máquina. Es simplemente una lista elaborada de antemano que invariablemente resulta ser la misma para todos los que le piden ese día a Spyware Protect 2009 llevar a cabo la revisión de sus máquinas. Si el usuario incauto logra ser asustado con todo esto y se dirige a la opción de compra de Spyware Protect 2009, verá que este programa tiene un costo de 50 dólares que tiene que ser solventado necesariamente con tarjeta de crédito llenando una orden de pago como la siguiente:
Advanced Stealth Email
VMalum AWS
CNNIC Update U
Bancos DMD
Win32.Grams.I
Zlob AN
SillyDI BCL
CPush
Win32/Wadnock
Best search
Win32/Nuquel.E
Edge Tech
Disable Key
EMogen.B
Moonlight.V
Autorun.AOL
Sinowal.VXR
Antivirus360
BankerFox.A
Y en caso de hacer el pago, la víctima no sólo les estará dando a los criminales parte de su dinero y el número de su tarjeta de crédito. Les estará dando también acceso a todas sus contraseñas en Internet (passwords) y a todo lo que está dentro de su máquina.
Otro síntoma claro de que algo sumamente maligno y extraño se ha apoderado de la máquina es la aparición en la bandeja (tray) de la barra de tareas de Windows (en el extremo inferior derecho de la pantalla) de un ícono pequeño representado como el escudo típico con las tres bandas usado por Spyware Protect 2009 para representarse a sí mismo, el cual no puede ser removido de la bandeja porque no ofrece opciones para ello.
Como ya se señaló también en la introducción a esta entrada, uno de los síntomas claros e inequívocos de que una computadora ha sido infectada con Spyware Protect 2009 es que si antes las conexiones a través de Internet se ejecutaban rápidamente de súbito ahora todo se empieza a llevar a cabo con una lentitud exasperante sin importar el navegador (también conocido como “explorador” o browser) que se esté utilizando, ya sea Internet Explorer, Mozilla Firefox o el Chrome de Google. La única conexión rápida permitida a Internet por el invasor es la que conecta a cualquiera de las páginas principales con que trabaja la empresa criminal Spyware Protect 2009; todo lo demás trabajará a una velocidad que parecerá cada vez más exasperantemente baja, lo cual dificultará intentar llevar a cabo la instalación o la actualización mediante Internet de un programa que se encargue de purgar el virus (esta es la principal motivación de los redactores del virus informático para bajar deliberadamente la velocidad de la conexión a Internet en todo lo demás que no tenga que ver directamente con los intrusos).
Dependiendo de la variante de Spyware Protect 2009 que haya entrado en la computadora, la infección puede (y tal vez lo hará) modificar el domicilio de Internet con el cual inicia el navegador del usuario sus operaciones (homepage) que para muchos usando computadoras no-infectadas puede ser Yahoo! o Google o cualquier otro domicilio con el que quiera empezar a navegar en Internet al abrir el navegador.
El troyano malicioso encargado de abrirle la puerta de la computadora a la empresa criminal Spyware Protect 2009 es conocido bajo distintos nombres según la empresa a la que le ha tocado manejarlo o estudiarlo. Algunos de sus muchos nombres son los siguientes:
McAfee: New Malware.bx
McAfee: W32.HLLP.Philis.dll
McAfee: Generic Downloader.g
McAfee: Generic.f
Trend Micro: TROJ_UPOLYX.BL
Trend Micro: TROJ_LOOKED.LU
Trend Micro: TROJ_TIBS.ZV
Kaspersky Lab: Backdoor.Win32
Symantec: Downloader
Microsoft: Trojan:Win32/Tibs.IT
Sophos: Troj/FakeVir-KR
Ikarus: Backdoor.Win32.Hupigon
Bajo cualquier nombre, sigue siendo la misma cosa. Y se debe tener en cuenta que se trata de un virus que está siendo evolucionado por sus creadores para hacerlo cada vez más difícil de desinstalar de una máquina; esta es la razón por la cual en la lista limitada de arriba aparece con distintos nombres.
Las nuevas generaciones de virus informáticos potentes como Spyware Protect 2009 están incorporando dentro de sus paquetes infectores a troyanos viejos que ya existían desde antes de la aparición de Spyware Protect 2009, y no es inusual ser infectado con alguna variante que incorpore a cinco, diez o inclusive veinte o más troyanos diferentes, de modo tal que aunque los archivos infectores principales puedan ser removidos manualmente siempre puede quedar algo remanente que active el troyano número 1, y los redactores del virus previendo que el usuario pueda remover manualmente el troyano número 1 tal vez habrán anticipado tal acción elaborando algo que permitirá entrar en acción el troyano número 2, y así sucesivamente, dificultando aunque no haciendo imposible la labor de limpiar a la computadora de una infección de esta naturaleza. El hacker criminal que ha hecho hábito suyo atacar las computadoras de otros a través de Internet intenta al construír su paquete malicioso anticipar todas las medidas correctivas que el usuario tratará de tomar por cuenta propia, y tratará de mantenerse un paso adelante de él aunque no tenga acceso remoto a la computadora infectada.
Puesto que Spyware Protect 2009 es esencialmente un fraude en el que se están moviendo grandes cantidades de dinero obtenidas de los usuarios que son estafados, es posible que países como Estados Unidos e Inglaterra a través de agencias investigadoras como el FBI y Scotland Yard estén tomando ya cartas en el asunto. Pero mientras hacen algo, hay que hacer algo con las infecciones que ya se están dando y para lo cual las agencias gubernamentales proporcionan muy poca ayuda.
A los usuarios con alguna experiencia previa en la desinstalación de programas tal vez se les ocurra llevar a cabo la remoción automática de Spyware Protect 2009 recurriendo al mismo sistema operativo Windows, empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva al “Panel de Control” (Control Panel) que a su vez nos lleva al ícono “Agregar o quitar programas” que a su vez nos prepara una lista de “Programas actualmente instalados” registrados por Windows XP y que pueden ser removidos. Si el afectado cayó en la trampa de enviar su dinero y registrarse ante la empresa fantasma Spyware Protect para instalar esta peste en su totalidad, posiblemente descubrirá que la línea Spyware Protect 2009 no aparece en la lista de “Programas actualmente instalados” y por lo tanto no puede ser removido con este recurso. En otras mutaciones del programa viral, aunque la línea Spyware Protect 2009 sí aparece en la lista de “Programas actualmente instalados” el afectado descubrirá que si trata de remover el programa la computadora se congelará impidiéndole la remoción o simplemente se negará a hacerlo sacándolo completamente fuera de la ventana de “Agregar o quitar programas” si trata de hacerlo. Hay mil maneras en la cual el invasor se puede proteger a sí mismo para evitar su remoción a través de este recurso de Windows. Tratar de eliminar Spyware Protect 2009 con “Agregar o quitar programas” puede terminar siendo una pérdida de tiempo.
Otra cosa que se les podría ocurrir a los usuarios con alguna experiencia previa en el restablecimiento del sistema operativo de la computadora con el fin de volver la computadora al modo de operación que tenía a una fecha previa a la fecha en que se llevó a cabo la infección tal vez sería intentar llevar a cabo la “Restauración del Sistema” (System Restore), la cual se lleva a cabo empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva a la línea “Todos los programas” (All Programs) que a su vez nos lleva a la opción “Accesorios” (Accessories) que a su vez nos lleva a la opción “Herramientas del sistema” (System Tools) dentro de la cual encontramos “Restaurar sistema” (System Restore) que nos abre una ventana como la siguiente:
El uso de esta herramienta presupone que en el calendario mostrado hay un Punto de Retorno (Restore Point) al cual se puede regresar. Si no hay punto de retorno alguno en el calendario no se puede llevar a cabo un regreso de las condiciones de la máquina a una fecha previa excepto la misma fecha en la cual se instaló el sistema operativo Windows XP por primera vez en el disco duro de la máquina en cuyo caso es preferible reinstalar Windows XP de nuevo con los discos CD-ROM de instalación. Supuestamente, al llevar a cabo una restauración del sistema, Windows XP compara los archivos puestos después del punto de restauración con los archivos que había antes del punto de restauración (de los cuales Windows XP tiene una copia completa) y Windows se encarga de borrar los archivos que habían sido añadidos después del punto de restauración así reponer los archivos que fueron borrados (sin embargo, aunque todos los programas que hayan sido instalados despues de una fecha específica de un punto de restauración serán borrados y tendrán que ser reinstalados en caso de devolver a la máquina a la condición que tenía antes del punto de restauración, esto no será de ayuda alguna para reinstalar programas completos que hayan sido ya desinstalados de la máquina por el usuario tales como los programas comerciales Adobe Acrobat y Photoshop). Una cosa importante a tener en cuenta es que después de haberse llevado a cabo una restauración del sistema siempre es posible deshacer la restauración, los cambios hechos por la restauración del sistema son reversibles. Sin embargo, habrá que volver a instalar todos aquellos programas que habían sido instalados después del punto de restauración. Aunque esto (la restauración del sistema a un punto previo) era posible en las primeras versiones preliminares de Spyware Protect 2009, con las nuevas y mas potentes versiones de ataque de este virus maligno esto ya no es posible. Si el usuario infectado con este virus intenta llevar a cabo una restauración del sistema, descubrirá que al llegar al paso final oprimiendo el botón “Aceptar” el proceso de restauración quedará congelado sin ir a ninguna parte. Esto es el resultado directo de la acción del virus que está bloqueando los intentos del afectado por llevar a cabo una restauración del sistema que eliminaría los archivos infectados agregados al sistema por el virus. Una cosa que podría funcionar en este caso sería arrancar las operaciones de la máquina en “Modo Seguro” (Safe Mode) oprimiendo la tecla F8 al encender la máquina justo cuando se escucha el sonido “biip” que indica que Windows XP está a punto de ser cargado en la memoria RAM de la computadora. Pero las nuevas mutaciones del virus tal vez vuelvan imposible intentar llevar a cabo de manera automática con la ayuda de Windows XP una restauración del sistema aún iniciando en “Modo Seguro”, todo depende de la variante del virus que se haya instalado en la máquina; hay que estar preparados para todo. Con lo que hemos visto, debe ser obvio que el tratar de eliminar las mutaciones más recientes del virus Spyware Protect 2009 con el recurso “Restaurar sistema” de Windows XP también puede terminar siendo una pérdida de tiempo ya que el virus no lo permitirá. En relación al uso de la herramienta de restauración del sistema un documento que el usuario tal vez quiera leer es el siguiente:
__http://www.microsoft.com/windowsxp/using/helpandsupport
_ __/getstarted/ballew_03may19.mspx
Precisamente porque las versiones más actualizadas del virus Spyware Protect 2009 poseen ya poderosos mecanismos de defensa para impedir que pueda ser borrado fácilmente de una computadora aún con la ayuda de los recursos de Windows tales como “Restauración del Sistema” y con la ayuda de los más actualizados programas anti-virus que tenga instalada la computadora infectada se requiere toda una metodología de ataque contra el virus como la que estaremos desarrollando en este documento. Y esta es una metodología en la cual el usuario afectado lleva a cabo por cuenta propia o con la ayuda de alguien familiarizado en el sistema operativo Windows la remoción manual de la infección. Esta metodología se detalla en la entrada “La remoción manual del virus Spyware Protect” que forma parte de esta bitácora.
Como mínimo, Spyware Protect 2009 en su versión original más generalizada efectúa sobre la máquina que está infectando las siguientes acciones:
1) Instala con la ayuda de un troyano que le abre la puerta de entrada a la máquina el programa infector principal sysguard.exe o un equivalente del mismo.
2) Modifica la base de datos de los componentes add-ons del navegador (browser) nativo de Windows, el Internet Explorer, para estar invocando cada vez que sea encendida la computadora otro archivo invasor llamado iehelper.dll o un equivalente del mismo.
3) Modifica por lo menos una de las entradas del componente del sistema operativo Windows conocido como el Registro (Registry) para echar a andar el principal programa infector sysguard.exe o un equivalente del mismo cada vez que la máquina sea encendida.
4) Modifica un archivo poco conocido dentro de Windows llamado hosts añadiendo una entrada extra que simula ser un sitio de Microsoft cuando en realidad se trata de algo que provoca que la computadora infectada se esté tratando de conectar constantemente con los criminales que desde una computadora remota desean enterarse de lo que está haciendo cada una de sus víctimas alrededor del mundo. Esta es precisamente una de las modificaciones que disminuye considerablemente la velocidad de la conexión de la computadora a Internet.
Además de lo anterior y dependiendo de la variante del virus que se tenga, se puede crear dentro de la computadora infectada una copia idéntica del principal archivo invasor sysguard.exe asignándole un nuevo nombre y poniendo la copia en otra parte de la computadora para ser usada en caso de que la víctima pueda encontrar y borrar por sí misma el principal archivo infector sysguard.exe, con lo cual el virus puede reestablecerse a sí mismo una y otra vez en la computadora replicándose de la copia de emergencia que ha creado de sí mismo en otra parte dentro de la máquina y cuya existencia el usuario ignora. Al hacer esta réplica de sí mismo, el archivo infector está actuando igual que un verdadero virus biológico que es incapaz de reproducirse por sí mismo y que necesita infectar una célula y usurpar su maquinaria reproductora de ADN para poder producir copias de sí mismo, aunque para poder subsistir dentro de la computadora el infector no necesita hacer copias múltiples, le basta con hacer una sola copia escondiendo dicha copia bajo otro nombre y de preferencia guardándola en otra carpeta diferente. Esta acción de replicación puede ser suplementada con la instalación de otros archivos infectores de apoyo mutuo que se ayuden entre sí el uno al otro en forma coordinada para impedir que la víctima se pueda deshacer fácilmente de la infección, de modo tal que si la víctima borra cualquiera de los archivos o inclusive dos o tres de ellos, los demás se dan cuenta de lo que ha ocurrido y entran en acción para restaurar los archivos borrados. Dependiendo de lo que haya borrado el usuario, tal vez ni siquiera se requiera tener la máquina conectada a Internet para que la infección se puede restaurar a sí misma con el solo hecho de encender la computadora, pero si la remoción manual del virus llevada a cabo por el usuario es tal que el virus requiere forzosamente recuperar algunos archivos a través de Internet, tal cosa no la podrá lograr mientras la máquina esté desconectada de la línea telefónica que la conecta a Internet. La desconexión de la máquina de la toma telefónica es el primer paso prioritario requerido para impedir que la infección informática se pueda afianzar en la máquina al darse cuenta los invasores desde otro lado del mundo lo que se les está tratando de hacer.
¿Qué es lo que mete en su computadora una persona asustada que es convencida por los hipócritas mensajes de advertencia que le recuerdan constantemente con ventanas emergentes que se ha detectado que su máquina está infectada y que es urgente que compre el paquete Spyware Protect 2009, enviándoles el pago de 50 dólares cargado a su tarjeta de crédito?
Al cometer el grave error de sucumbir a los mensajes de advertencia de Spyware Protect 2009 enviados por el intruso a través de la injerencia no autorizada en la máquina del infector maligno sysguard.exe con el envío del pago pedido para completar el procedimiento de instalación, se crea dentro de la maquina una carpeta que puede estar titulada como Spyware Protect 2009 puesta dentro de la carpeta “Archivos de programa” (Program Files) situada dentro del disco duro de la máquina representado como “C:”, todo lo cual se representa a la vieja usanza del sistema operativo de línea de comandos DOS con una ruta como la siguiente:
__C:\Archivos de programa\Spyware Protect 2009
dentro de la cual se puede depositar material pernicioso como el siguiente:
C:\Archivos de programa\Spyware Protect 2009\gfx.bin
C:\Archivos de programa\Spyware Protect 2009\lang
C:\Archivos de programa\Spyware Protect 2009\lang\english.lng
C:\Archivos de programa\Spyware Protect 2009\options.ini
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe.MANIFEST
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009_start_setup.exe
C:\Archivos de programa\Spyware Protect 2009\tp_starter.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.log
C:\Archivos de programa\Spyware Protect 2009\vbase.ini
El archivo infector inicial sysguard.exe en realidad solo es un vehículo para darle entrada a otro programa todavía peor, el programa
__SpywareProtect2009.exe
junto con su programa acompañante, un archivo tipo MANIFEST (un archivo MANIFEST es un archivo contenido dentro de otro archivo tipo JAR para ser utilizado en el entorno de una plataforma Java con la cual operan varios navegadores en Internet):
__SpywareProtect2009.exe.MANIFEST
todo lo cual se ejecutará cada vez que se encienda la máquina.
Además de lo anterior, se depositarán en la carpeta WINDOWS algunos (o todos) de los siguientes archivos además de otros nuevos que se puedan depositar (en nuevas versiones del paquete de infección los nombres están siendo cambiados constantemente para que no le sea fácil a la víctima identificarlos a menos que verifique si la fecha en la cual fueron metidos los archivos infectores coincide con la fecha y la hora en la cual se llevó a cabo el pago y la instalación del paquete completo de Spyware Protect 2009:
C:\WINDOWS\system32\vbzlib2.dll
C:\WINDOWS\aazalirt.exe
C:\WINDOWS\dkekkrkska.exe
C:\WINDOWS\dkewiizkjdks.exe
C:\WINDOWS\iddqdops.exe
C:\WINDOWS\ienotas.exe
C:\WINDOWS\iqmcnoeqz.exe
C:\WINDOWS\irprokwks.exe
C:\WINDOWS\jikglond.exe
C:\WINDOWS\jiklagka.exe
C:\WINDOWS\jrjakdsd.exe
C:\WINDOWS\jungertab.exe
C:\WINDOWS\kitiiwhaas.exe
C:\WINDOWS\kkwknrbsggeg.exe
C:\WINDOWS\klopnidret.exe
C:\WINDOWS\krkdkdkee.exe
C:\WINDOWS\krkmahejdk.exe
C:\WINDOWS\krtawefg.exe
C:\WINDOWS\krujmmwlrra.exe
C:\WINDOWS\ktknamwerr.exe
C:\WINDOWS\kuruhccdsdd.exe
C:\WINDOWS\ooorjaas.exe
C:\WINDOWS\oranerkka.exe
C:\WINDOWS\oropbbsee.exe
C:\WINDOWS\otnnbektre.exe
C:\WINDOWS\otowjdseww.exe
C:\WINDOWS\otpeppggq.exe
C:\WINDOWS\rkaskssd.exe
C:\WINDOWS\ronitfst.exe
C:\WINDOWS\seeukluba.exe
C:\WINDOWS\skaaanret.exe
C:\WINDOWS\sysguardn.exe
C:\WINDOWS\tobmygers.exe
C:\WINDOWS\tobykke.exe
C:\WINDOWS\zibaglertz.exe
Para usurpar los recursos del sistema, las nuevas familias de virus propagables via Internet no solo utilizan varios programas ejecutables instalados por el intruso dentro de la máquina el día que ocurrió la infección trabajando ya sea independientemente o en forma coordinada dentro de la máquina, sino también recurren a las mismas herramientas proporcionadas por Microsoft al usuario para darle (supuestamente) mejores opciones para navegar por Internet con su navegador Internet Explorer integrado al sistema operativo Windows. Una de tales opciones son los “Browser Helper Objects” (BHO), los cuales son librerias de enlace dinámico (dynamic link libraries ó dll), los cuales son agregados como complementos conocidos como “add-ons” y los cuales se cargan automáticamente cada vez que la máquina es encendida. Al intruso le es posible entrar en acción después de haber instalado en la máquina infiltrada sus propios “add-ons”. El problema con los complementos “add-ons” no es con aquellos instalados por los programas legítimamente instalados con autorización previa dada por el usuario y cuyo funcionamiento es transparente en todo momento, sino con los complementos “add-ons” instalados y utilizados por los programas maliciosos que utilizan esta vulnerabilidad del sistema para instalarse en la máquina desde un principio sin el conocimiento ni la autorización del usuario para de allí en delante causar todo tipo de estragos. Estos aditamentos maliciosos tiene que ser escritos por un programados experto utilizando un lenguaje de bajo nivel como C++, tras lo cual deben ser compilados para ser convertidos en un “Browser Helper Object”. Podemos ver la lista completa de los “add-ons” que la máquina tiene instalada con el siguiente procedimiento:
1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.
2) En la línea del menú del Internet Explorer, nos vamos a la opción “Tools” y de allí seleccionamos la sub-opción “Manage Add-ons”:
Esto nos dá acceso a la herramienta “Add-ons Manager” de Internet Explorer, titulada “Manage Add-ons”.
3) En la cajita “Show” seleccionamos el conjunto de complementos “add-ons” que queremos ver:
Desde aquí mismo podemos desactivar cualquier complemento “add-on” que nos parezca sospechoso. Naturalmente, esto no precluye la posibilidad de que al volver a encenderse la máquina los programas maliciosos instalados en la misma puedan volver a activar nuevamente sus entradas puestas en el “Add-ons Manager” al darse cuenta de que han sido desactivas por el usuario. Esta es una de las razones por las cuales la primera prioridad en combatir una infección informática consiste en la detección y eliminación de todos los programas ejecutables puestos por el invasor dentro de la máquina.
Los ejemplos mostrados para la desactivación de complementos “add-ons” son válidos para una de las más recientes versiones de Internet Explorer en inglés. En caso de estar utilizando una computadora con su sistema operativo Windows trabajando en español, el procedimiento sería el siguiente:
1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.
2) En la línea del menú del Internet Explorer, nos vamos a la opción “Herramientas” y de allí seleccionamos la sub-opción “Administrar complementos”.
3) Una vez adentro de la ventana utilizada para administrar complementos, seleccionamos la opción “Habilitar o deshabilitar complementos” con lo que se nos muestra lo siguiente:
Aunque en la gran mayoría de los casos las infecciones virales informáticas obtenidas por la vía de Internet entran a través de un troyano, también puede ocurrir con menor frecuencia que la víctima contraiga la infección informática visitando a través de algún enlace intermedio cualquiera de los domicilios utilizados por la empresa criminal para promocionar y vender su producto. Algunos de estos domicilios son (constantemente son alterados, borrados y vueltos a establecer con el fin de confundir a las autoridades):
__www.swp2009.com
__www.spyprotect2009.com
__www.sp-protect2009.com
__sp-protect2009.com
__sys-protection.com
__sysguard2009.com
__os-protection.com
__spy-protect-2009.com
__spywprotect.com
__adwareguard.net
__antivirus-win.com
__spywrprotect-2009.com
__sysprotect.net
__spwprotect2009.com
__Sp-protect2009.com
__Spyprotect2009.com
__Swp2009.com
Tras la reparación de los daños y la reinstalación cada uno de los navegadores que se vayan a utilizar, tal vez algunos usuarios acostumbrados a utilizar el navegador Internet Explorer nativo de Windows intenten llevar a cabo un bloqueo de los sitios anteriores, siendo esta una de las opciones que ofrece el Internet Explorer. Sin embargo, tal vez ésto no sea práctico porque la lista de sitios que constantemente están siendo inventados por la banda criminal detrás de Spyware Protect 2009 va creciendo día con día, constantemente se inventan nuevos nombres y se desactivan unos que ya habían sido creados sólo para ser reactivados nuevamente unos cuantos días e inclusive horas después. Por otro lado, navegadores como Mozilla Firefox no traen instalada consigo esta capacidad para poder bloquear sitios de los cuales conocemos su dirección, se le tiene que agregar al navegador a través de un add-on. Mozilla Firefox permite la instalación de add-ons a través de la línea del menú en la opción “Herramientas” (Tools) en donde podemos encontrar algunos add-ons recomendados para otros propósitos. Podemos encontrar información adicional sobre esto último en el siguiente enlace:
___http://kb.mozillazine.org/Parental_controls
Sin embargo, considerando las malas experiencias que la instalación de add-ons está ocasionando a los usuarios del navegador Internet Explorer, no es recomendable agregar absolutamente nada a un navegador de alta seguridad como el Mozilla Firefox mucho más de lo que ya traía consigo al momento de ser instalado (o reinstalado). No a menos de que tengamos la certeza absoluta de que el add-on proviene de una compañía seria y responsable y de que no lo estamos obteniendo de un sitio impostor.
Complicando aún más las cosas para el usuario que ha sufrido el ataque de un virus informático está la deshonestidad o la falta de apoyo con la cual operan los fabricantes de paquetes antivirales, incluídos algunos de los más conocidos, empresas que se supone serias y responsables de las cuales omitiré sus nombres porque dichas empresas son de sobra conocidas. En casi todos los paquetes vendidos por tales empresas el usuario en caso de ser víctima de un ataque pronto descubre que está más solo y desprotegido de lo que se imagina, aunque haya comprado un paquete legal de protección antivirus pagando lo que se le pide por el costo de la licencia anual. Si el afectado cae víctima de un ataque informático, al tratar de procurar ayuda de cualquiera de dichas empresas descubrirá que tal ayuda tiene un costo monetario extra que no estaba incluído en la licencia, le dirán lo mucho que le conviene contratar algún servicio de soporte técnico como “Platinum Plus” o algo similar pagando algo así como 80 dólares la hora, de modo tal que si la infección es severa y le lleva unas diez horas el liberar su máquina con esta ayuda especializada el costo de 800 dólares posiblemente superará lo que pagó por su máquina, y estas empresas deliberadamente omiten incluír en sus bases de datos procedimientos de remoción manual de infecciones como los que se dan en este trabajo precisamente para forzar a sus clientes a contratar esos servicios de costo extra, o bien dejarlo solo a la deriva. Y a cambio de la instalación de un paquete antivirus legal tras el pago de la licencia anual, el usuario seguramente obtendrá al prescribir el término de su licencia una aparición constante y repetitiva de mensajes recordándole que la “protección” dada por su paquete ha prescrito y que la tiene que renovar, mensajes que para su aparición cronometrada le roban a la máquina velocidad al estarle robando muchos ciclos de máquina consumidos en el conteo de reloj. Y aún hay otras empresas “serias” todavía más deshonestas que al detener una infección en lugar de remover al archivo infector y borrarlo lo “cuarentenan” (File has been quarantined), de modo tal que si el usuario decide sacar fuera de su computadora al paquete antivirus entonces en represalia por romper las cadenas lo que estaba en cuarentena ya no estará en cuarentena y será liberado para que ocasione destrucción, que al fin y al cabo los fabricantes de estos programas antivirales siempre pueden alegar que fue un error del usuario y no de ellos el haber tratado de sacar el programa antivirus de la máquina. Si para algo han servido las infecciones virales informáticas como Spyware Protect 2009, además de exponer las numerosas deficiencias de las que adolecen los sistemas operativos Windows XP y Windows Vista, es para exponer a la luz del día la deshonestidad abierta o encubierta de todos los fabricantes de paquetes antivirales. Es precisamente por cosas como éstas que muchos usuarios que han pagado por licencias de “protección” antiviral terminan en los foros de chat de Internet pidiendo ayuda para sus problemas, porque no reciben apoyo y soporte libre de costo de la empresa que les vendió el programa antivirus. ¡Y todavía así es mucho lo que se quejan estas empresas al hablar acerca de la deshonestidad involucrada en la piratería informática que las priva de ganancias cuando ellas mismas actúan de manera tan deshonesta!
En caso de haber purgado manualmente una infección informática como la causada por Spyware Protect 2009 con los procedimientos que son detallados en las demás entradas de esta bitácora, y en caso de persistir los problemas, podemos suponer que como consecuencia de la infección original se han infectado archivos propios del mismo sistema operativo Windows XP, archivos que no pueden ni deben ser borrados por el usuario puesto que son archivos que Windows XP necesita para poder funcionar. En tal caso, no queda más remedio que volver a instalar en la máquina el sistema operativo Windows XP, para lo cual apagamos la computadora y la volvemos a encender en Modo Seguro (Safe Mode) oprimiendo la tecla F8, echando a andar la instalación del Windows XP con la ayuda del CD-ROM de instalación que venía con la máquina al momento de ser vendida (algunas máquinas nuevas no incluyen el disco CD-ROM de instalación de Windows XP pero tienen la opción de crear tal disco por una sola y única ocasión en una copia para el Windows XP instalado en la máquina). Espero, desde luego, que al comprar su máquina los afectados hayan tenido la precaución de conservar esos discos originales de instalación de Windows XP o de que hayan hecho sus discos de reserva, porque si no estarán en serios problemas tarde o temprano.
Podemos obtener información detallada en la Wikipedia sobre infecciones virales informáticas malware como las ocasionadas por Spyware Protect 2009 en el siguiente enlace:
___http://en.wikipedia.org/wiki/Malware
Un sitio que vale la pena visitar cuando se tienen problemas con Spyware Protect 2009 es el siguiente sitio de la empresa ThreatExpert que contiene información técnica sobre una de las más propagadas variantes del virus, aquella que fue identificada el 24 de febrero de 2009.
___http://www.threatexpert.com
______/report.aspx?md5=f42ecaab6442d21e4beba274875d882b
Podemos obtener mayor información acerca de los aditamentos complemento add-ons del Internet Explorer conocidos como “Browser Helper Objects” en la siguiente dirección de Wikipedia:
___http://en.wikipedia.org/wiki/Browser_Helper_Object
Hemos visto lo que es Spyware Protect 2009. En las entradas restantes de este documento veremos cómo podemos liberar a una máquina que haya sido infectada por este peligroso y destructivo parásito.
2: Remoción manual del virus Spyware Protect
Antes de comenzar: Los procedimientos que serán dados a continuación requieren forzosamente que la capacidad del sistema operativo Windows XP para mostrar archivos ocultos esté disponible, ya que sin ella no es posible encontrar y remover los archivos propios de una infección. Desafortunadamente las nuevas generaciones de virus informáticos están incorporando una cantidad creciente de troyanos que deshabilitan la opción de Windows para poder activar la capacidad para ver archivos ocultos, y al ser invisibles los archivos maliciosos estos no pueden ser eliminados manualmente. En estos casos, si el usuario usa las herramientas usuales de Windows para permitirle ver los archivos ocultos (yendo a la barra del menú del Windows Explorer y seleccionando en “Herramientas” la pestaña “Ver” de la opción “Opciones de carpeta...”), en cuanto ha activado “Mostrar todos los archivos y carpetas ocultos” esta vuelve a ser desactivada por el mismo troyano que la deshabilitó y que está ejecutándose sin parar reactivándola indefinidamente. Si esto es lo que esta sucediendo en una máquina infectada, antes de proceder con la totalidad de los procedimientos descritos a continuación, consúltese el procedimiento titulado “Restauración de función ver archivos ocultos” puesto en otra de las entradas de este trabajo.
El primer paso para manejar una infección causada por Spyware Protect 2009 consiste en desconectar la máquina de Internet cuanto antes, lo cual puede ser tan fácil como desconectar el cable de la línea de extensión telefónica de la computadora. Una computadora que está infectada tratará sin el permiso del usuario de conectarse con el intruso para enviarle todos los datos y toda la información que se pueda recabar de dicha computadora, y esto sólo es posible mientras haya una conexión a Internet. Rota dicha conexión, Spyware Protect 2009 estará tratando inútilmente de comunicarse al no haber una salida hacia afuera, perdiendo un tiempo valioso que nosotros podemos aprovechar en nuestra ventaja.
En los siguientes pasos se supondrá que el lector no tiene dificultad alguna para trabajar con la ventana de Windows Explorer (no se confunda ésto con el navegador Internet Explorer de Microsoft) a la cual se puede llegar desde el ícono “Mi PC” (My Computer) usando la opción “Explorar” obtenible a través del botón derecho del mouse:
Supondremos también para nuestro ejemplo hipotético que la infección se llevó a cabo el jueves 26 de febrero de 2009, aunque también se pudo haber llevado a cabo en cualquier otro día. La fecha de infección de este tipo de virus generalmente es conocida por el usuario afectado y es un dato importante que se debe conservar porque ello le permitirá al usuario buscar y localizar las carpetas y los archivos creados precisamente en dicho día, carpetas y archivos nuevos que antes no existían en la computadora y que seguramente fueron puestos en la misma durante el proceso de infección.
Una vez que se ha desconectado la línea telefónica, el siguiente paso consiste en localizar el principal proceso que está siendo ejecutado. En la versión más reciente de Spyware Protect 2009 que acaba de hacer su aparición el pasado mes de febrero de 2009, el principal programa que se instala en la máquina es el programa ejecutable sysguard.exe. La extensión exe nos indica que se trata precisamente de un programa o proceso ejecutable (executable). En nuevas versiones que vayan apareciendo de este virus del cual se están elaborando versiones cada vez más potentes día con día, este nombre tal vez pueda cambiar a otro nombre que no esté tan desprestigiado. Al llevarse a cabo la infección, este programa ejecutable puede ser puesto en la carpeta (directorio) WINDOWS del disco duro, aunque también en nuevas versiones se le puede dar otros lugares para instalarse.
En el caso de las versiones más recientes de Spyware Protect 2009 que han estado infectando computadoras alrededor del mundo desde fines de enero de 2009, lo primero que se debe de hacer es ver con la ayuda del “Administrador de Tareas” de Windows si se esta ejecutando el proceso sysguard.exe, lo cual se logra oprimiendo primero al mismo tiempo la combinación de teclas Ctrl-Alt-Del con lo cual se abre una ventana como la siguiente:
En la ventana de Aplicaciones que estamos viendo arriba, hay cuatro aplicaciones ejecutándose, la primera es simplemente el “Bloc de Notas” de Windows conteniendo texto que trata acerca de la “ELIMINACION DE SPYWARE PROTECT 2009” (el nombre dado al archivo de texto con el cual se redactó el texto de cada una de las entradas de esta bitácora). La segunda aplicación ejecutándose es Windows Explorer abierto en la carpeta titulada “Mis imágenes”. La tercera y la cuarta aplicación son ventanas diferentes de navegador (también conocido como explorador ó browser) Mozilla Firefox con la tercera mostrando la conexión a Blogger con la cual se está editando este documento y la cuarta mostrando otra página diferente de Mozilla Firefox abierta con el domicilio de Yahoo. Si cerramos la últimas dos aplicaciones veremos que las ventanas del navegador Mozilla Firefox, tanto la página de Blogger como la página de Yahoo, desaparecerán de la pantalla. Ninguna de las cuatro aplicaciones son el programa principal del virus infector. Sin embargo, si vemos que se está ejecutando en una quinta línea algo como Sysguard o como AVScan o como Spyware Protect 2009, debemos detenerlo de inmediato.
Hasta aquí, posiblemente ya hemos detenido la ejecución del principal programa del cual depende Spyware Protect 2009 si es que estaba operando como una aplicación con algún nombre como Sysguard o Spyware Protect o algo similar, pero el programa sysguard.exe sigue instalado en la máquina. Tenemos que encontrarlo y eliminarlo por completo. Una vez detenida la ejecución de sysguard.exe, el siguiente paso consiste en determinar el lugar dentro del disco duro en donde se ha instalado el archivo. Para ello nos vamos al botón de Inicio (Start) y nos vamos a la ventana de Buscar (Search) en donde activaremos la opción “Todos los archivos y carpetas” en respuesta a la pregunta “¿Que desea buscar?” con lo cual se abre una ventana de diálogo en donde debemos escribir el nombre exacto del archivo o de la carpeta que queremos buscar. Posiblemente con esta ayuda encontraremos que el archivo infector principal sysguard.exe está puesto bajo la carpeta WINDOWS del disco duro en una ruta como la siguiente:
__C:\WINDOWS\sysguard.exe
Habiendo determinado el lugar en donde está situado sysguard.exe, el siguiente paso consiste en ir hacia tal carpeta (directorio) para enviar a sysguard.exe inmediatamente a la Papelera de Reciclaje (Recycle Bin), y una vez que se le ha enviado a la papelera de reciclaje se le debe borrar inmediatamente. No basta con simplemente enviar el archivo ofensor a la papelera de reciclaje y olvidarse del mismo. Se le debe borrar de inmediato para impedir que lo que quede de la versión de Spyware Protect 2009 que se instaló en la máquina pueda intentar recuperar esta carpeta “perdida” de la papelera de reciclaje en caso de buscar allí dicha carpeta y encontrarla. Mientras sysguard.exe exista en la papelera de reciclaje, lo que quede de Spyware Protect 2009 en la máquina puede intentar rescatar este archivo de allí ya que es su principal “herramienta de trabajo”.
También se debe verificar (con la ayuda del Administrador de Tareas) si está ejecutando el archivo twex.exe, o (con la ayuda de la ventana utilizada para Buscar) ver si está instalado dicho archivo ejecutable en algún lado de la máquina, ya que también este archivo es utilizado por algunas variantes de Spyware Protect 2009. Frecuentemente este archivo está puesto bajo la carpeta system32 que está a su vez bajo la carpeta WINDOWS:
__C:\WINDOWS\system32\twex.exe
Previendo emergencias como una causada por una infeccion de un virus sumamente malicioso como Spyware Protect 2009, es bueno que el usuario de cada computadora se vaya familiarizando cuanto antes con la ayuda del “Administrador de Tareas” (Windows Task Manager) de los programas que se están ejecutando en la computadora (estos son visibles cuando la pestaña “Aplicaciones” -Programs- está activada) y de los procesos subsidiarios que también se están ejecutando en la computadora (estos son visibles cuando la pestaña “Procesos” -Processes- está activada).
A manera de ejemplo, en una computadora sin infección alguna pueden estar corriendo las siguientes aplicaciones de acuerdo con lo que nos dice el Administrador de Tareas de Windows:
__Google - Mozilla Firefox
__Mi PC
__Kate Winslet - Visor de imágenes y fax de Windows
a la vez que en la misma computadora están corriendo los siguientes procesos (entre otros):
__taskmgr.exe
__NOTEPAD.EXE
__FIREFOX.EX
__Explorer.exe
__alg.exe
____.
____.
__WINLOGON.EXE
__System
__Proceso inactivo del sistema
Para fines prácticos, tanto las aplicaciones como los procesos ambos constituyen programas ejecutables y no hay mucha diferencia entre ellos desde el punto de vista del usuario. En el ejemplo anterior citado, taskmgr.exe es precisamente el Administrador de Tareas de Windows que está siendo invocado para ver qué es lo que está corriendo dentro de la máquina; es un caso curioso de un programa “viéndose” a sí mismo. La segunda línea NOTEPAD.EXE es simplemente el “Bloc de Notas” (Notepad) accesible a través del botón “Inicio” de Windows en el extremo inferior izquierdo que nos lleva a “Todos los programas” que nos lleva a la opción “Accesorios” dentro de la cual está el “Bloc de notas”. Si el “Bloc de Notas” no está siendo utilizado, la segunda línea mostrada arriba en donde dice NOTEPAD.EXE no aparecerá. La tercera línea corresponde al principal programa ejecutable FIREFOX.EXE que corresponde al navegador Mozilla Firefox. Las últimas dos líneas corresponden a elementos propios del sistema Windows XP que no deben preocupar al usuario por ahora. La ejecución de cualquiera de las aplicaciones puede ser terminada con el botón “Finalizar tarea” dentro de la pestaña “Aplicaciones”, del mismo modo que cualquier proceso puede ser terminado con el botón de “Terminar proceso” dentro de la pestaña de “Procesos”, de modo tal que si vemos una línea con una aplicación que nos es desconocida y que nunca habíamos visto antes en nuestra computadora como System Protect o como AVScan (o cualquier otro nombre que no nos sea familiar) podemos parar de inmediato la ejecución de dicha aplicación con este recurso, y si vemos un proceso que nos es desconocido y que nunca habíamos visto antes en nuestra computadora como sysguard.exe podemos parar de inmediato la ejecución de dicho proceso, tras lo cual debemos buscar el lugar en donde está guardado dicho archivo para enviarlo a la papelera de reciclaje y borrarlo de inmediato.
Otras aplicaciones y procesos que en el pasado reciente han estado asociadas con una infección de Spyware Protect 2009 o con sus abuelas predecesoras además de las ya mencionadas en la primera entrada titulada “Un virus informático maligno” son los siguientes:
__
__free_scan.exe
__ntos.exe
__load[1].exe
__gr[2].exe
__new23[1].exe
__new26[1].exe
__adv111[1].exe
Además de estas aplicaciones y procesos, hay también librerías de enlace dinámico (dynamic link libraries) que son archivos subsidiarios ejecutables que no pueden ser echados a andar por sí solos sino que dependen de otro archivo ejecutable principal que los echa a andar, de modo tal que la eliminación principal del archivo ejecutable que recurre a ellos generalmente basta para neutralizar a estos archivos subsidiarios, de los cuales en el caso de Spyware Protect 2009 algunos de los más conocidos en el pasado son:
__usp10.dll
__Omahonafazeq.dll
__iehelper.dll
Al igual que como se hace con las aplicaciones, para detener el programa infector principal que se está ejecutando si es que se está ejecutando como proceso abrimos primero el Administrador de Tareas de Windows oprimiendo al mismo tiempo la combinación de teclas Ctrl-Alt-Del., y una vez que lo hemos abierto abrimos la pestaña de “Procesos” (Processes). Allí posiblemente encontraremos una línea mostrando a sysguard.exe o algo similar que nunca antes habíamos visto (si es que estamos familiarizados con el contenido usual de los procesos que corren en nuestra máquina). Una vez que la hemos seleccionado, el siguiente paso consiste en borrarla, con lo cual detenemos la ejecución del proceso infector. Desafortunadamente, cuando se instala el virus, este no es el único programa infector que se instala ya sea como aplicación o como proceso, casi siempre se instalan también otros archivos. Pero esto no es el único problema que enfrentamos.
Desafortunadamente, no hay una forma inmediata de saber si durante el proceso de infección se creó una copia de sysguard.exe bajo otro nombre engañoso como WindowsCache.exe o cualquier otro nombre que se le vaya ocurriendo al creador del virus con el fin de que al iniciar la computadora y con la ayuda de otro archivo miembro del paquete infector al inicio se invoque al archivo con el nombre engañoso y haga una copia del mismo cambiándole el nombre a sysguard.exe reinstalando de este modo el principal archivo infector que había sido borrado. Es por esta razón que es imperativo buscar en la lista de los procesos de arranque de la computadora la línea que pueda echar a andar a sysguard.exe, y esta línea generalmente debe estar especificada en el Registro (Registry). Esto lo veremos posteriormente.
Hecho lo anterior, una vez que se ha interrumpido la ejecución del programa infector principal (tómese en cuenta que puede haber aún otros archivos infectados corriendo en el trasfondo), la siguiente orden del día es hacer un buen respaldo (backup) de todo lo que podamos respaldar. Si la versión que recibimos del virus invasor es tal que no ha inhabilitado y desactivado aún la capacidad de la computadora para poder hacer respaldos de archivos y carpetas ya sea a través del quemador de discos CD-ROM o a través de un disco duro externo portátil conectado en uno de los puertos USB, se debe hacer un respaldo de todos los archivos que permiten al sistema operativo Windows XP funcionar. Se recomienda copiar las siguiente carpetas completas sin omitir nada (accesibles desde “Mi PC” en el directorio raíz del disco duro “C:”:
__C:\WINDOWS\Archivos de programa
__C:\WINDOWS\Documents and Settings
__C:\WINDOWS
Se recomienda hacer también un respaldo completo de la carpeta “Mis documentos”. Con discos duros portátiles de 320 Gb o inclusive de 500 Gb accesibles a precios que oscilan entre los 100 y los 150 dólares, bien vale la pena llevar a cabo el respaldo indicado.
Si bien es cierto que el respaldo completo que estamos haciendo seguramente contendrá archivos ya infectados por Spyware Protect 2009, habrá muchos otros archivos críticos de Windows XP que no estarán infectados porque son archivos que inclusive el mismo Spyware Protect 2009 necesita tener trabajando intactos para poder funcionar, los cuales son indispensables para re-establecer el sistema ya sea en caso de un borrado accidental de alguno de esos archivos importantes o en caso de que como último recurso Spyware Protect 2009 los borre o los corrompa en venganza por los procedimientos de desinstalación manual que están siendo llevados a cabo en su contra. Aquí la víctima debe tener la esperanza de que la variante de Spyware Protect 2009 que se haya instalado en su máquina no haya infectado algo realmente importante como explorer.exe (no se confunda ésto con el navegador Internet Explorer de Microsoft), porque de ser así tal vez no habrá más remedio que volver a instalar el sistema operativo Windows XP en la máquina.
Hecho todo lo anterior, ha llegado la hora de borrar todos los navegadores (como Mozilla Firefox o Chrome de Google) que se estén utilizando en la computadora, dando por hecho que cualquiera de los programas ejecutables en que se basan (programas que tendran la extensión .exe o .bin o inclusive .com) o cualquiera de las librerías de ayuda propia que utilizan (las cuales tendrán la extensión .dll que significa dynamic link library o “librería de enlace dinámico”) podrán estar infectadas. Es importante tener en cuenta que no es posible borrar el navegador Internet Explorer ya que éste programa es parte integral del sistema operativo Windows, siendo esta una de las razones del por qué es el blanco favorito de los redactores maliciosos de virus informáticos. Una vez borrados los navegadores, no le será posible a Spyware Protect 2009 el tratar de conectarse a través del navegador a un sitio como el sitio al cual hay que mandar el pago para supuestamente limpiar la computadora de infecciones (sin embargo, si el usuario es de los que habitualmente utilizan Internet Explorer, el riesgo de una conexión no deseada a los criminales que están del otro lado de la línea es enorme). También tenemos que desinstalar o tratar de desinstalar de la máquina la plataforma Java, si es que hay una instalada, la cual se puede encontrar en la lista de programas instalados con la ayuda del Panel de Control con un nombre como:
__Java 2 Runtime Environment Standard Edition
El borrar todos los navegadores de la computadora y la plataforma Java no debe causar preocupación alguna, ya que pueden ser reinstalados nuevamente después en sus versiones más recientes completamente libres de infecciones después de bajarlos de un sitio con excelente reputación como download.com.
Pero no basta con borrar los navegadores y la plataforma Java, hay que borrar también los Messenger, o sea tanto el Windows Messenger como el Yahoo Messenger. Tampoco esto debe causar preocupación alguna ya que los Messenger pueden ser reinstalados nuevamente después en sus versiones más recientes completamente libres de infecciones después de bajarlos de un sitio con excelente reputación como download.com.
Una vez borrados los navegadores y los Messenger, no hay una forma fácil en la cual el virus infector pueda usurpar los recursos de dichos programas para contactar al intruso y al mismo tiempo le pueda estar pidiendo al usuario en ventanas abiertas sin su consentimiento que mande el dinero para poder eliminar las infecciones que pueda tener, lo cual se repite es una burla estúpida.
Después de que se ha terminado de hacer lo anterior, ya que se han removido los navegadores y los Messenger y justo antes de apagar la computadora infectada, es necesario remover o desactivar también el programa antivirus que tenía instalada la computadora (Norton, Micro Trend, Kaspersky, Symantec, etc.) por varias razones. En esto no debemos tener vacilación alguna. La primera razón es que si el programa antivirus instalado en la computadora no sirvió para detener la infección causada por Spyware Protect 2009, en realidad ya no nos sirve de nada puesto que con el virus instalado en la máquina existe el riesgo de que algunos de los archivos principales ejecutables de los que depende el programa antivirus ya están infectados también, y puesto que al encender una computadora con un programa antivirus instalado lo primero que ocurre inmediatamente después de haber cargado Windows XP es que el programa antivirus entra en acción para ver si no hay archivos infectados, en lugar de detectar y remover esos archivos infectados lo que posiblemente hará (dependiendo de la variante del código malicioso) será tratar de reinstalar archivos infectados y programas ejecutables nocivos malicioso recién removidos manualmente como el programa sysguard.exe, o sea que en vez de ser una ayuda ha pasado a convertirse en un lastre. Otra razón por la cual el programa antivirus no nos sirve ya para nada es que nos puede estorbar cuando intentemos llevar a cabo el borrado manual de archivos infectados creyendo que está protegiendo la integridad de la computadora cuando en realidad está protegiendo al virus invasor impidiendo que sus archivos infectores puedan ser borrados. Es posible que el programa antivirus aún siendo un programa instalado legítimamente con licencia de uso en vigor no haya servido para impedir la entrada del virus por no haber estado actualizado (automáticamente) con los últimos “parches de seguridad”, una opción que algunos usuarios desactivan cuando no deberían de hacerlo, pero si esto fue lo que ocurrió sería inútil tratar de echar a andar el programa antivirus con el fin de actualizarlo en virtud de que Spyware Protect 2009 no permitirá por ningún motivo que a través de Internet se descarguen las actualizaciones más recientes (updates) diseñadas para eliminarlo. En pocas palabras, tras una infección con Spyware Protect 2009 ya no es posible actualizar el programa antivirus, no a menos de que los archivos infectados que impiden la actualización del programa antivirus sean removidos.
Antes de continuar, se vuelve deseable hablar acerca de la existencia de una carpeta dentro de Windows XP llamada Prefetch, cuya ruta de acceso es la siguiente:
__C:\WINDOWS\Prefetch
La carpeta Prefetch no es una carpeta absolutamente indispensable. Fue agregada a Windows XP para mejorar el desempeño del sistema operativo y, a corto plazo, es un éxito. Cada vez que se ejecuta un programa, Windows XP intentará encontrar un archivo prefetch que ya exista para el programa en cuestión, y si lo encuentra, lo utilizará para cargar la aplicación con mayor rapidez. (La palabra inglesa “prefetch” se traduce como “pre-búsqueda”.) Cada archivo prefetch identificado fácilmente por su extensión distintiva .pf es actualizado llevando una cuenta del número de veces que el programa ha sido utilizado por el usuario, de modo tal que entre más se utilice un programa tanto mayor será la disminución en el tiempo de carga de dicho programa en la memoria RAM de la computadora. Si el programa de aplicación al momento de instalarse no cuenta con un archivo prefetch asociado, Windows XP le creará uno. En la carpeta Prefetch se guardan archivos que se crean al instalar y usar programas, acelerando el acceso a ellos, es decir, recuerdan en donde están situados los archivos instalados y los ubican más rápidos, pero cuando estos se desinstalan suelen quedar archivos obsoletos y estos se van acumulando, así que estos por sana práctica deben borrarse, ya que si la carpeta Prefetch crece demasiado esto puede demorar el funcionamiento de su máquina en vez de ayudar. Todos los archivos puestos dentro de esta carpeta pueden ser borrados sin problema alguno, y se recomienda hacer un borrado al menos una vez al mes, sin borrar aquellos archivos puestos en la carpeta Prefetch que ayudan a cargar con mayor rapidez los programas que siguen siendo utilizados ya que esto aumenta el “performance” de Windows XP para cargar los programas más utilizados.
Desafortunadamente, no sólo los programas legítimos pueden llevar a cabo la instalación de archivos de ayuda en la carpeta Prefetch. También pueden hacerlo programas malignos como Spyware Protect 2009 sin esperarse a que Windows XP lo haga, y al hacerlo por su cuenta los programas maliciosos están en condiciones de proporcionar un conjunto adicional de instrucciones para que se ejecute el principal programa infector y si esto no es posible entonces para que se ejecuten otras cosas. A estas alturas a mis lectores tal vez se les esté ocurriendo ir directamente a la carpeta Prefetch para borrar todo lo que pueda tener un título como AVScan.pf o como SpywareProtect2009.pf o como sysguard.pf. Sin embargo, antes de caer en la tentación inmediata de borrar tales archivos indeseables, es altamente deseable mover dichos archivos mediante cortado y empastado hacia otra parte en donde puedan ser localizados (como en la carpeta Mis Documentos) porque en caso de que la infección Spyware Protect 2009 haya agregado uno o varios archivos a la carpeta Prefetch el contenido de dichos archivos no solo apunta directamente hacia las ubicaciones en donde puede haber otros archivos maliciosos sino que apunta también hacia las ubicaciones en el Registro (Registry) en donde fueron agregadas líneas para activar archivos ya infectados. Esta es una información que puede ser útil para algunos programas antivirales. Lo importante es que lo que vaya quedando de Spyware Protect 2009 no encuentre dichos archivos en la carpeta Prefetch en caso de que los haya puesto allí durante el proceso de infección para buscarlos posteriormente en dicha carpeta.
Ahora hablaremos del Registro.
Resulta inconcebible que por un lado Microsoft haya creado el Registro dándole muy pocas pistas al usuario sobre cómo opera éste recurso, agravado con las numerosas advertencias de Microsoft a sus usuarios de que por ningún motivo traten de meterle mano al Registro a menos de que sean unos consumados expertos en ciencias computacionales que saben perfectamente bien lo que están haciendo tal y como lo sabría el poseedor de un Doctorado en Informática; y que al mismo tiempo le haya hecho tan fácil a cualquier intruso operando desde lejos a través de Internet el poder meterle mano a su antojo al Registro haciendo con dicho recurso lo que le dé la gana. Desde el punto de vista de diseño seguro a prueba de ataques, el Registro tiene que ser una de las peores pifias de Microsoft para la cual ya no hay solución posible por el simple hecho de que hay que darle soporte por exigencias de compatibilidad a los miles de programas legítimos creados por terceros para ser instalados en una computadora que trabaja con el sistema operativo Windows. Este no es el único pero que se le puede poner al famoso Registro. Una omisión fatal en el Registro de Windows es que no lleva ninguna cuenta sobre las fechas en las cuales se le han metido nuevas entradas, dificultando enormemente la búsqueda de entradas nuevas metidas dentro del Registro el día y la hora en que ocurrió una infección informática del sistema. Esta capacidad se le podría haber dado al Registro sin problema alguno consumiendo un espacio extra tan pequeñísimo en el disco duro que habría sido considerado despreciable, pero no se le dió porque los programadores de Microsoft nunca consideran tal cosa como necesaria, y tal vez hoy se arrepienten de ello. Lo que puede hacerse para “parchar” esta omisión imperdonable es guardar de vez en cuando una copia del Registro, lo cual permite comparar un Registro que pudo haber sido infectado en cierta fecha contra una copia de un Registro previo de la computadora con la finalidad de detectar diferencias. Esta es precisamente una de las cosas que hace la herramienta “Restaurar sistema” (System Restore) al fijar puntos de restauración, crea una copia completa del Registro para cada punto de restauración, lo cual es una medida inútil si el intruso ha deshabilitado la capacidad del sistema para volver la máquina a un punto de restauración previo con esta herramienta de Windows.
Meterle la mano al Registro es una cosa seria, tan seria que para hacerlo se requiere la ayuda de un programa especial de Windows conocido como el “Editor del Registro”, el programa regedit.exe, y antes de hacer cualquier cambio al Registro se recomienda fuertemente hacer una copia completa del Registro que nos permita regresar al estado de cosas anterior en caso de que las cosas no salgan como esperábamos. A continuación tenemos el procedimiento para poder accesar el Registro para lo que queremos llevar a cabo empezando por la prioridad número uno que es la búsqueda de programas que puedan ser echados a andar por el virus informático cada vez que se encienda la computadora:
1) Empezamos con el botón “Inicio” de Windows situado en el extremo inferior izquierdo que nos lleva a la línea “Ejecutar...” (Run...).
2) Activamos la línea “Ejecutar...” abriendo con ello una ventanita titulada precisamente “Ejecutar”.
3) En el espacio en blanco correspondiente a “Abrir:”, escribir “regedit” (sin las comillas), y oprimir el botón “Aceptar” (OK). Esto nos abre el “Editor del Registro”:
Una vez abierta la ventana principal del Editor del Registro, podemos inspeccionar las entradas del Registro en una forma similar a como lo hacemos utilizando el Windows Explorer del sistema operativo Windows. A manera de ejemplo, con la ayuda del Editor del Registro podríamos ver una ventana como la siguiente:
que nos muestra los contenidos puestos en la ruta:
__Mi PC\HKEY_LOCAL_MACHINE\SYSTEM
______\CurrentControlSet\Services\Cdrom
Estos contenidos variarán de máquina a máquina dependiendo no sólo del tipo de máquina (los componentes con los que está construída) sino también de los programas que el usuario haya estado instalando en su máquina, además de lo que una infección informática haya metido dentro del mismo Registro.
4) Lo primero que debemos hacer es una copia completa del “Editor del Registro”. Nos vamos a la línea del menú del Editor del Registro en donde dice “Archivo” y escogemos la opción “Exportar...”. Le damos a la copia que vamos a hacer un nombre que podamos recordar fácilmente, y hacemos el respaldo del Registro.
5) Hecho lo anterior, estamos listos para empezar a editar entradas del Registro. En este caso, lo que haremos será llevar a cabo una remoción de entradas que correspondan a la infección de Spyware Protect 2009 y únicamente las entradas relacionadas con esa infección.
A manera de ejemplo, a continuación tenemos algunas entradas en el Registro que han sido utilizadas en el pasado reciente por Spyware Protect 2009 y su predecesor AVScan para especificar la injerción de su código malicioso, entradas que se deben eliminar del Registro en caso de ser encontradas debajo del bloque HKEY_CURRENT_USER (el proceso de borrado se lleva a cabo con el usando la opción de la línea del menú titulada “Edición” seleccionando “Eliminar”, con lo cual se borra la línea agresora):
__HKEY_CURRENT_USER\Software\AvScan
__HKEY_CURRENT_USER\Software\Spyware Protect 2009
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run "sysguardn"
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\sysguardn
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\sysguard.exe
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\Mmexofumutokara
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Explorer\Browser Helper
__Objects\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
______{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
Todas las entradas puestas en el Registro dentro de
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run
son las que especifican precisamente los programas (aplicaciones, procesos) que se echarán a andar automáticamente sin intervención alguna del usuario en cuanto el sistema operativo Windows XP se haya terminado de instalar en la memoria RAM de la computadora. Aquí es donde seguramente vamos a encontrar una línea especificando al principal programa de la infección (sysguard.exe o algún otro nombre nuevo con el que se hayan elaborado las versiones más recientes de Spyware Protect 2009) porque la intención de los escritores del código malicioso es que el programa arranque de inmediato sin que el usuario infectado se dé cuenta y antes de que el usuario tenga oportunidad alguna de poder hacer cualquier cosa. Es lógico que se especifique en el Registro el arranque automático al inicio del encendido de la máquina infectada del programa invasor, porque se sobreentiende que el usuario jamás echará a andar un virus ejecutable como Spyware Protect 2009 por cuenta propia (exceptuando a quienes hayan caído en la trampa y hayan enviado su dinero creyendo que estaban comprando un programa de protección contra este tipo de infecciones). Es necesario que Spyware Protect haga lo posible para tratar de arrancar por cuenta propia al inicio de operaciones sin intervención o conocimiento alguno del usuario. De cualquier modo, y en previsión de que el usuario haya detectado la presencia en su máquina de Spyware Protect 2009 al aparecer las molestas ventanas pop-up promocionando el desastroso producto, algunas de las variantes más recientes están tratando de llevar a cabo cuanto antes la infección de todos los navegadores que tenga instalada la máquina, empezando con el navegador registrado como el navegador de inicio (default) así como de los Messenger e inclusive del programa antivirus para evitar ser neutralizadas. Es por esto que es altamente recomendable eliminar todos los navegadores y volver a cargarlos de nuevo cuanto antes una vez que se hayan removido los focos de infección.
En posible que aquellos temerosos de recurrir al “Editor del Registro” de Windows por su falta de experiencia se sientan tentados a recurrir a un programa como Registry Mechanic que también se puede obtener del sitio download.com, el cual al 4 de marzo de 2009 en su versión 8.0.0.900 tenía un tamaño de 7.340 Mb y supuestamente tenía acumuladas ya más de 8 millones y medio de descargas de todas partes del mundo (es posible que una buena parte de estas descargas haya sido realizada por la misma empresa que vende este producto con el propósito de aumentar el rating del producto en Internet). Desafortunadamente, la versión gratuita de Registry Mechanic pone un límite de reparaciones a las seis primeras secciones del programa y en su versión gratuita ofrece una accesibilidad limitada a un mes. Pero además de estas limitaciones y restricciones severas, dá la casualidad de que Registry Mechanic es producido por la misma empresa que fabrica otro programa llamado Spyware Doctor del cual tratamos en otra entrada de esta bitácora titulada “Las herramientas inútiles”, la empresa PC Tools. Después de haber leído lo que está puesto aquí acerca de la empresa PC Tools y su programa Spyware Doctor, los usuarios sabrán mejor si quieren tomarse la molestia de descargar e instalar en su computadora cualquiera de las dos versiones de Registry Mechanic (la versión gratuita o la versión de paga).
En el abuelo predecesor de Spyware Protect 2009, AVScan, con la ayuda del Editor del Registro era posible localizar con facilidad las siguiente entradas que podían ser borradas de inmediato:
__HKEY_CURRENT_USER\Software\avscan aazalirt
__HKEY_CURRENT_USER\Software\avscan dkekkrkska
__HKEY_CURRENT_USER\Software\avscan dkewiizkjdks
__HKEY_CURRENT_USER\Software\avscan id
__HKEY_CURRENT_USER\Software\avscan iddqdops
__HKEY_CURRENT_USER\Software\avscan ienotas
__HKEY_CURRENT_USER\Software\avscan iqmcnoeqz
__HKEY_CURRENT_USER\Software\avscan irprokwks
__HKEY_CURRENT_USER\Software\avscan jikglond
__HKEY_CURRENT_USER\Software\avscan jiklagka
__HKEY_CURRENT_USER\Software\avscan jrjakdsd
__HKEY_CURRENT_USER\Software\avscan jungertab
__HKEY_CURRENT_USER\Software\avscan kitiiwhaas
__HKEY_CURRENT_USER\Software\avscan kkwknrbsggeg
__HKEY_CURRENT_USER\Software\avscan klopnidret
__HKEY_CURRENT_USER\Software\avscan krkdkdkee
__HKEY_CURRENT_USER\Software\avscan krkmahejdk
__HKEY_CURRENT_USER\Software\avscan krtawefg
__HKEY_CURRENT_USER\Software\avscan krujmmwlrra
__HKEY_CURRENT_USER\Software\avscan ktknamwerr
__HKEY_CURRENT_USER\Software\avscan kuruhccdsdd
__HKEY_CURRENT_USER\Software\avscan ooorjaas
__HKEY_CURRENT_USER\Software\avscan oranerkka
__HKEY_CURRENT_USER\Software\avscan oropbbsee
__HKEY_CURRENT_USER\Software\avscan otnnbektre
__HKEY_CURRENT_USER\Software\avscan otowjdseww
__HKEY_CURRENT_USER\Software\avscan otpeppggq
__HKEY_CURRENT_USER\Software\avscan ready
__HKEY_CURRENT_USER\Software\avscan rkaskssd
__HKEY_CURRENT_USER\Software\avscan ronitfst
__HKEY_CURRENT_USER\Software\avscan salrtybek
__HKEY_CURRENT_USER\Software\avscan seeukluba
__HKEY_CURRENT_USER\Software\avscan skaaanret
__HKEY_CURRENT_USER\Software\avscan tobmygers
__HKEY_CURRENT_USER\Software\avscan tobykke
__HKEY_CURRENT_USER\Software\avscan zibaglertz
Obsérvese que todo el material está puesto en el apartado de software bajo la entrada avscan.
Pero en el caso de su sucesor Spyware Protect 2009, todo parece haber cambiado; muchas de las anteriores entradas ya no aparecen, y de hecho están apareciendo constantemente variantes (mutaciones) del programa con nuevos nombres con lo cual el creador (o los creadores) del virus intenta estar un paso adelante de la detección de los programas antivirus (lo cual posiblemente llegará a su fin en cuanto sea localizado y arrestado por las autoridades del país desde donde está operando).
Nos acercamos al momento de apagar la computadora. Pero antes de hacerlo, queremos cerciorarnos de que al arrancarla de nuevo no se echará a andar automáticamente un programa o varios programas dudosos que hayan sido puesto en la lista de inicio por el virus. Esto se logra con el uso de la herramienta Windows de “Utilidad de Configuración del Sistema”. Para ello el procedimiento es el siguiente:
1) Empezamos con el botón “Inicio” de Windows situado en el extremo inferior izquierdo que nos lleva a la línea “Ejecutar...” (Run...).
2) Activamos la línea “Ejecutar...” abriendo con ello una ventanita titulada precisamente “Ejecutar”.
3) En el espacio en blanco correspondiente a “Abrir:”, escribimos “msconfig” (sin las comillas), y oprimimos el botón “Aceptar” (OK). Esto nos abre la “Utilidad de Configuración del Sistema”.
4) Recurrimos a la sexta pestaña de la ventana que es la pestaña de “Inicio”, con la cual aparece una ventana como la siguiente indicándonos claramente cuáles son los programas que son echados a andar automáticamente cada vez que arranca la computadora:
5) Desmarcamos los casilleros de los programas cuyo arranque automático queremos desactivar, y oprimimos el botón de “Aceptar”. Esto no nos detiene los programas que ya se echaron a andar cuando arrancó la computadora, para ello es necesario recurrir al Administrador de Tareas o bien apagar la computadora y volver a encenderla. En la ventana de ejemplo mostrada arriba hay nueve programas que se echan a andar al iniciar sus operaciones la computadora, de los cuales podemos desmarcar los casilleros correspondientes a msmsgs y Yahoo Messenger (esto desactivará cualquier posibilidad de que el virus intente echar a andar los Messenger de Windows y Yahoo cuando se encienda la computadora). Podemos desmarcar también las últimas tres líneas (Microsoft Office, Symantec Fax Starter Edition, Adobe Reader Speed Launch) para no tener dichos programas puestos en funcionamiento al volverse a encender la computadora. Después podemos volver nuevamente a marcar los casilleros.
Hecho todo lo anterior, ha llegado el momento de apagar la computadora, la cual cuando arranque otra vez no ejecutará sysguard.exe al haber sido borrado este archivo infector y al haber sido borrada la entrada en el registro que la pone en movimiento.
Ahora debemos obtener en otra computadora que no esté infectada las versiones más recientes de los navegadores y de los Messenger que borramos de la computadora infectada.
¿Por qué no es recomendable utilizar la misma computadora infectada para bajar los navegadores y los Messenger? Por la sencilla razón de que al bajar dichos programas en una computadora que ya está infectada en cuanto termine el proceso de descarga el archivo infector puede modificar cada programa de instalación de los navegadores y de los Messenger y cualquier otro programa anexando su propio código ejecutable que puede inutilizar aún más los programas bajados. Así, al bajar el Mozilla Firefox, si el archivo ejecutable de instalación tiene un tamaño de 16.2 Mb, entonces los archivos infectores en la máquina le pueden anexar un código adicional haciéndolo un poco más grande, digamos a unos 16.7 Mb, pero dejándole el mismo nombre para no despertar sospechas. De este modo, cuando un usuario está instalando el Mozilla Firefox en una máquina infectada en realidad está instalando un Mozilla Firefox que acaba de ser infectado en la misma máquina, lo cual lo deja igual o peor que como ya estaba.
De este modo, en otra máquina libre de infecciones, el afectado deberá conformar un paquete de varios programas completos de instalación (Mozilla Firefox, Yahoo Messenger, plataforma Java, etc.) para instalarlos en la máquina infectada. Pero estos programas los debe llevar grabados en un disco CD-ROM. La razón para esto es obvia. Si se los lleva grabados en un flash drive USB, puesto que los contenidos de la memoria flash drive USB pueden ser manipulados y alterados se corre el riesgo de que los archivos infectores en la computadora infectada alteren los archivos ejecutables de instalación que se lleven en el flash drive. En cambio, los contenidos del CD-ROM son inmunes ya que no hay forma de borrar el contenido de un CD-ROM alterándolo para poner otro tipo de contenidos diferentes de los originales. Un CD-ROM es como un disco comercial de música, los contenidos de lo que tiene permanecerán iguales a lo largo de la vida del CD-ROM.
Existe otra diferencia importante entre los discos CD-ROM y los flash drives como medios de almacenamiento para ser usados en casos de emergencias como ésta. Mientras que cada flash drive que es conectado a una computadora tiene que ser reconocido por ella tras un proceso de instalación automática de unos programas especiales conocidos como drivers que proporciona cada flash drive, los cuales una vez instalados pueden ser borrados o alterados con código malicioso por un programa infector que se puede encargar de que la computadora deje de reconocer todos los flash drives que antes podía reconocer, esto no puede ocurrir con los lectores de los CD-ROM porque estos últimos van conectados directamente a la tarjeta madre (motherboard) de la máquina que contiene toda la electrónica alambrada de fábrica, una conexión del lector a la tarjeta madre que se puede llevar a cabo en el interior de la computadora ya sea con cables de electrónica paralela (IDE) o electrónica serial (SATA) de modo tal que los discos CD-ROM siempre podrán ser reconocidos por los lectores de CD-ROM instalados en las máquinas aunque el sistema operativo Windows XP esté infectado.
El procedimiento para buscar y borrar todos los archivos residuales relacionados con el virus infector será el tema a tratar en la tercera entrada de ésta bitácora, titulada “El borrado manual de archivos de infección”.
__________________________
El primer paso para manejar una infección causada por Spyware Protect 2009 consiste en desconectar la máquina de Internet cuanto antes, lo cual puede ser tan fácil como desconectar el cable de la línea de extensión telefónica de la computadora. Una computadora que está infectada tratará sin el permiso del usuario de conectarse con el intruso para enviarle todos los datos y toda la información que se pueda recabar de dicha computadora, y esto sólo es posible mientras haya una conexión a Internet. Rota dicha conexión, Spyware Protect 2009 estará tratando inútilmente de comunicarse al no haber una salida hacia afuera, perdiendo un tiempo valioso que nosotros podemos aprovechar en nuestra ventaja.
En los siguientes pasos se supondrá que el lector no tiene dificultad alguna para trabajar con la ventana de Windows Explorer (no se confunda ésto con el navegador Internet Explorer de Microsoft) a la cual se puede llegar desde el ícono “Mi PC” (My Computer) usando la opción “Explorar” obtenible a través del botón derecho del mouse:
Supondremos también para nuestro ejemplo hipotético que la infección se llevó a cabo el jueves 26 de febrero de 2009, aunque también se pudo haber llevado a cabo en cualquier otro día. La fecha de infección de este tipo de virus generalmente es conocida por el usuario afectado y es un dato importante que se debe conservar porque ello le permitirá al usuario buscar y localizar las carpetas y los archivos creados precisamente en dicho día, carpetas y archivos nuevos que antes no existían en la computadora y que seguramente fueron puestos en la misma durante el proceso de infección.
Una vez que se ha desconectado la línea telefónica, el siguiente paso consiste en localizar el principal proceso que está siendo ejecutado. En la versión más reciente de Spyware Protect 2009 que acaba de hacer su aparición el pasado mes de febrero de 2009, el principal programa que se instala en la máquina es el programa ejecutable sysguard.exe. La extensión exe nos indica que se trata precisamente de un programa o proceso ejecutable (executable). En nuevas versiones que vayan apareciendo de este virus del cual se están elaborando versiones cada vez más potentes día con día, este nombre tal vez pueda cambiar a otro nombre que no esté tan desprestigiado. Al llevarse a cabo la infección, este programa ejecutable puede ser puesto en la carpeta (directorio) WINDOWS del disco duro, aunque también en nuevas versiones se le puede dar otros lugares para instalarse.
En el caso de las versiones más recientes de Spyware Protect 2009 que han estado infectando computadoras alrededor del mundo desde fines de enero de 2009, lo primero que se debe de hacer es ver con la ayuda del “Administrador de Tareas” de Windows si se esta ejecutando el proceso sysguard.exe, lo cual se logra oprimiendo primero al mismo tiempo la combinación de teclas Ctrl-Alt-Del con lo cual se abre una ventana como la siguiente:
En la ventana de Aplicaciones que estamos viendo arriba, hay cuatro aplicaciones ejecutándose, la primera es simplemente el “Bloc de Notas” de Windows conteniendo texto que trata acerca de la “ELIMINACION DE SPYWARE PROTECT 2009” (el nombre dado al archivo de texto con el cual se redactó el texto de cada una de las entradas de esta bitácora). La segunda aplicación ejecutándose es Windows Explorer abierto en la carpeta titulada “Mis imágenes”. La tercera y la cuarta aplicación son ventanas diferentes de navegador (también conocido como explorador ó browser) Mozilla Firefox con la tercera mostrando la conexión a Blogger con la cual se está editando este documento y la cuarta mostrando otra página diferente de Mozilla Firefox abierta con el domicilio de Yahoo. Si cerramos la últimas dos aplicaciones veremos que las ventanas del navegador Mozilla Firefox, tanto la página de Blogger como la página de Yahoo, desaparecerán de la pantalla. Ninguna de las cuatro aplicaciones son el programa principal del virus infector. Sin embargo, si vemos que se está ejecutando en una quinta línea algo como Sysguard o como AVScan o como Spyware Protect 2009, debemos detenerlo de inmediato.
Hasta aquí, posiblemente ya hemos detenido la ejecución del principal programa del cual depende Spyware Protect 2009 si es que estaba operando como una aplicación con algún nombre como Sysguard o Spyware Protect o algo similar, pero el programa sysguard.exe sigue instalado en la máquina. Tenemos que encontrarlo y eliminarlo por completo. Una vez detenida la ejecución de sysguard.exe, el siguiente paso consiste en determinar el lugar dentro del disco duro en donde se ha instalado el archivo. Para ello nos vamos al botón de Inicio (Start) y nos vamos a la ventana de Buscar (Search) en donde activaremos la opción “Todos los archivos y carpetas” en respuesta a la pregunta “¿Que desea buscar?” con lo cual se abre una ventana de diálogo en donde debemos escribir el nombre exacto del archivo o de la carpeta que queremos buscar. Posiblemente con esta ayuda encontraremos que el archivo infector principal sysguard.exe está puesto bajo la carpeta WINDOWS del disco duro en una ruta como la siguiente:
__C:\WINDOWS\sysguard.exe
Habiendo determinado el lugar en donde está situado sysguard.exe, el siguiente paso consiste en ir hacia tal carpeta (directorio) para enviar a sysguard.exe inmediatamente a la Papelera de Reciclaje (Recycle Bin), y una vez que se le ha enviado a la papelera de reciclaje se le debe borrar inmediatamente. No basta con simplemente enviar el archivo ofensor a la papelera de reciclaje y olvidarse del mismo. Se le debe borrar de inmediato para impedir que lo que quede de la versión de Spyware Protect 2009 que se instaló en la máquina pueda intentar recuperar esta carpeta “perdida” de la papelera de reciclaje en caso de buscar allí dicha carpeta y encontrarla. Mientras sysguard.exe exista en la papelera de reciclaje, lo que quede de Spyware Protect 2009 en la máquina puede intentar rescatar este archivo de allí ya que es su principal “herramienta de trabajo”.
También se debe verificar (con la ayuda del Administrador de Tareas) si está ejecutando el archivo twex.exe, o (con la ayuda de la ventana utilizada para Buscar) ver si está instalado dicho archivo ejecutable en algún lado de la máquina, ya que también este archivo es utilizado por algunas variantes de Spyware Protect 2009. Frecuentemente este archivo está puesto bajo la carpeta system32 que está a su vez bajo la carpeta WINDOWS:
__C:\WINDOWS\system32\twex.exe
Previendo emergencias como una causada por una infeccion de un virus sumamente malicioso como Spyware Protect 2009, es bueno que el usuario de cada computadora se vaya familiarizando cuanto antes con la ayuda del “Administrador de Tareas” (Windows Task Manager) de los programas que se están ejecutando en la computadora (estos son visibles cuando la pestaña “Aplicaciones” -Programs- está activada) y de los procesos subsidiarios que también se están ejecutando en la computadora (estos son visibles cuando la pestaña “Procesos” -Processes- está activada).
A manera de ejemplo, en una computadora sin infección alguna pueden estar corriendo las siguientes aplicaciones de acuerdo con lo que nos dice el Administrador de Tareas de Windows:
__Google - Mozilla Firefox
__Mi PC
__Kate Winslet - Visor de imágenes y fax de Windows
a la vez que en la misma computadora están corriendo los siguientes procesos (entre otros):
__taskmgr.exe
__NOTEPAD.EXE
__FIREFOX.EX
__Explorer.exe
__alg.exe
____.
____.
__WINLOGON.EXE
__System
__Proceso inactivo del sistema
Para fines prácticos, tanto las aplicaciones como los procesos ambos constituyen programas ejecutables y no hay mucha diferencia entre ellos desde el punto de vista del usuario. En el ejemplo anterior citado, taskmgr.exe es precisamente el Administrador de Tareas de Windows que está siendo invocado para ver qué es lo que está corriendo dentro de la máquina; es un caso curioso de un programa “viéndose” a sí mismo. La segunda línea NOTEPAD.EXE es simplemente el “Bloc de Notas” (Notepad) accesible a través del botón “Inicio” de Windows en el extremo inferior izquierdo que nos lleva a “Todos los programas” que nos lleva a la opción “Accesorios” dentro de la cual está el “Bloc de notas”. Si el “Bloc de Notas” no está siendo utilizado, la segunda línea mostrada arriba en donde dice NOTEPAD.EXE no aparecerá. La tercera línea corresponde al principal programa ejecutable FIREFOX.EXE que corresponde al navegador Mozilla Firefox. Las últimas dos líneas corresponden a elementos propios del sistema Windows XP que no deben preocupar al usuario por ahora. La ejecución de cualquiera de las aplicaciones puede ser terminada con el botón “Finalizar tarea” dentro de la pestaña “Aplicaciones”, del mismo modo que cualquier proceso puede ser terminado con el botón de “Terminar proceso” dentro de la pestaña de “Procesos”, de modo tal que si vemos una línea con una aplicación que nos es desconocida y que nunca habíamos visto antes en nuestra computadora como System Protect o como AVScan (o cualquier otro nombre que no nos sea familiar) podemos parar de inmediato la ejecución de dicha aplicación con este recurso, y si vemos un proceso que nos es desconocido y que nunca habíamos visto antes en nuestra computadora como sysguard.exe podemos parar de inmediato la ejecución de dicho proceso, tras lo cual debemos buscar el lugar en donde está guardado dicho archivo para enviarlo a la papelera de reciclaje y borrarlo de inmediato.
Otras aplicaciones y procesos que en el pasado reciente han estado asociadas con una infección de Spyware Protect 2009 o con sus abuelas predecesoras además de las ya mencionadas en la primera entrada titulada “Un virus informático maligno” son los siguientes:
__
__free_scan.exe
__ntos.exe
__load[1].exe
__gr[2].exe
__new23[1].exe
__new26[1].exe
__adv111[1].exe
Además de estas aplicaciones y procesos, hay también librerías de enlace dinámico (dynamic link libraries) que son archivos subsidiarios ejecutables que no pueden ser echados a andar por sí solos sino que dependen de otro archivo ejecutable principal que los echa a andar, de modo tal que la eliminación principal del archivo ejecutable que recurre a ellos generalmente basta para neutralizar a estos archivos subsidiarios, de los cuales en el caso de Spyware Protect 2009 algunos de los más conocidos en el pasado son:
__usp10.dll
__Omahonafazeq.dll
__iehelper.dll
Al igual que como se hace con las aplicaciones, para detener el programa infector principal que se está ejecutando si es que se está ejecutando como proceso abrimos primero el Administrador de Tareas de Windows oprimiendo al mismo tiempo la combinación de teclas Ctrl-Alt-Del., y una vez que lo hemos abierto abrimos la pestaña de “Procesos” (Processes). Allí posiblemente encontraremos una línea mostrando a sysguard.exe o algo similar que nunca antes habíamos visto (si es que estamos familiarizados con el contenido usual de los procesos que corren en nuestra máquina). Una vez que la hemos seleccionado, el siguiente paso consiste en borrarla, con lo cual detenemos la ejecución del proceso infector. Desafortunadamente, cuando se instala el virus, este no es el único programa infector que se instala ya sea como aplicación o como proceso, casi siempre se instalan también otros archivos. Pero esto no es el único problema que enfrentamos.
Desafortunadamente, no hay una forma inmediata de saber si durante el proceso de infección se creó una copia de sysguard.exe bajo otro nombre engañoso como WindowsCache.exe o cualquier otro nombre que se le vaya ocurriendo al creador del virus con el fin de que al iniciar la computadora y con la ayuda de otro archivo miembro del paquete infector al inicio se invoque al archivo con el nombre engañoso y haga una copia del mismo cambiándole el nombre a sysguard.exe reinstalando de este modo el principal archivo infector que había sido borrado. Es por esta razón que es imperativo buscar en la lista de los procesos de arranque de la computadora la línea que pueda echar a andar a sysguard.exe, y esta línea generalmente debe estar especificada en el Registro (Registry). Esto lo veremos posteriormente.
Hecho lo anterior, una vez que se ha interrumpido la ejecución del programa infector principal (tómese en cuenta que puede haber aún otros archivos infectados corriendo en el trasfondo), la siguiente orden del día es hacer un buen respaldo (backup) de todo lo que podamos respaldar. Si la versión que recibimos del virus invasor es tal que no ha inhabilitado y desactivado aún la capacidad de la computadora para poder hacer respaldos de archivos y carpetas ya sea a través del quemador de discos CD-ROM o a través de un disco duro externo portátil conectado en uno de los puertos USB, se debe hacer un respaldo de todos los archivos que permiten al sistema operativo Windows XP funcionar. Se recomienda copiar las siguiente carpetas completas sin omitir nada (accesibles desde “Mi PC” en el directorio raíz del disco duro “C:”:
__C:\WINDOWS\Archivos de programa
__C:\WINDOWS\Documents and Settings
__C:\WINDOWS
Se recomienda hacer también un respaldo completo de la carpeta “Mis documentos”. Con discos duros portátiles de 320 Gb o inclusive de 500 Gb accesibles a precios que oscilan entre los 100 y los 150 dólares, bien vale la pena llevar a cabo el respaldo indicado.
Si bien es cierto que el respaldo completo que estamos haciendo seguramente contendrá archivos ya infectados por Spyware Protect 2009, habrá muchos otros archivos críticos de Windows XP que no estarán infectados porque son archivos que inclusive el mismo Spyware Protect 2009 necesita tener trabajando intactos para poder funcionar, los cuales son indispensables para re-establecer el sistema ya sea en caso de un borrado accidental de alguno de esos archivos importantes o en caso de que como último recurso Spyware Protect 2009 los borre o los corrompa en venganza por los procedimientos de desinstalación manual que están siendo llevados a cabo en su contra. Aquí la víctima debe tener la esperanza de que la variante de Spyware Protect 2009 que se haya instalado en su máquina no haya infectado algo realmente importante como explorer.exe (no se confunda ésto con el navegador Internet Explorer de Microsoft), porque de ser así tal vez no habrá más remedio que volver a instalar el sistema operativo Windows XP en la máquina.
Hecho todo lo anterior, ha llegado la hora de borrar todos los navegadores (como Mozilla Firefox o Chrome de Google) que se estén utilizando en la computadora, dando por hecho que cualquiera de los programas ejecutables en que se basan (programas que tendran la extensión .exe o .bin o inclusive .com) o cualquiera de las librerías de ayuda propia que utilizan (las cuales tendrán la extensión .dll que significa dynamic link library o “librería de enlace dinámico”) podrán estar infectadas. Es importante tener en cuenta que no es posible borrar el navegador Internet Explorer ya que éste programa es parte integral del sistema operativo Windows, siendo esta una de las razones del por qué es el blanco favorito de los redactores maliciosos de virus informáticos. Una vez borrados los navegadores, no le será posible a Spyware Protect 2009 el tratar de conectarse a través del navegador a un sitio como el sitio al cual hay que mandar el pago para supuestamente limpiar la computadora de infecciones (sin embargo, si el usuario es de los que habitualmente utilizan Internet Explorer, el riesgo de una conexión no deseada a los criminales que están del otro lado de la línea es enorme). También tenemos que desinstalar o tratar de desinstalar de la máquina la plataforma Java, si es que hay una instalada, la cual se puede encontrar en la lista de programas instalados con la ayuda del Panel de Control con un nombre como:
__Java 2 Runtime Environment Standard Edition
El borrar todos los navegadores de la computadora y la plataforma Java no debe causar preocupación alguna, ya que pueden ser reinstalados nuevamente después en sus versiones más recientes completamente libres de infecciones después de bajarlos de un sitio con excelente reputación como download.com.
Pero no basta con borrar los navegadores y la plataforma Java, hay que borrar también los Messenger, o sea tanto el Windows Messenger como el Yahoo Messenger. Tampoco esto debe causar preocupación alguna ya que los Messenger pueden ser reinstalados nuevamente después en sus versiones más recientes completamente libres de infecciones después de bajarlos de un sitio con excelente reputación como download.com.
Una vez borrados los navegadores y los Messenger, no hay una forma fácil en la cual el virus infector pueda usurpar los recursos de dichos programas para contactar al intruso y al mismo tiempo le pueda estar pidiendo al usuario en ventanas abiertas sin su consentimiento que mande el dinero para poder eliminar las infecciones que pueda tener, lo cual se repite es una burla estúpida.
Después de que se ha terminado de hacer lo anterior, ya que se han removido los navegadores y los Messenger y justo antes de apagar la computadora infectada, es necesario remover o desactivar también el programa antivirus que tenía instalada la computadora (Norton, Micro Trend, Kaspersky, Symantec, etc.) por varias razones. En esto no debemos tener vacilación alguna. La primera razón es que si el programa antivirus instalado en la computadora no sirvió para detener la infección causada por Spyware Protect 2009, en realidad ya no nos sirve de nada puesto que con el virus instalado en la máquina existe el riesgo de que algunos de los archivos principales ejecutables de los que depende el programa antivirus ya están infectados también, y puesto que al encender una computadora con un programa antivirus instalado lo primero que ocurre inmediatamente después de haber cargado Windows XP es que el programa antivirus entra en acción para ver si no hay archivos infectados, en lugar de detectar y remover esos archivos infectados lo que posiblemente hará (dependiendo de la variante del código malicioso) será tratar de reinstalar archivos infectados y programas ejecutables nocivos malicioso recién removidos manualmente como el programa sysguard.exe, o sea que en vez de ser una ayuda ha pasado a convertirse en un lastre. Otra razón por la cual el programa antivirus no nos sirve ya para nada es que nos puede estorbar cuando intentemos llevar a cabo el borrado manual de archivos infectados creyendo que está protegiendo la integridad de la computadora cuando en realidad está protegiendo al virus invasor impidiendo que sus archivos infectores puedan ser borrados. Es posible que el programa antivirus aún siendo un programa instalado legítimamente con licencia de uso en vigor no haya servido para impedir la entrada del virus por no haber estado actualizado (automáticamente) con los últimos “parches de seguridad”, una opción que algunos usuarios desactivan cuando no deberían de hacerlo, pero si esto fue lo que ocurrió sería inútil tratar de echar a andar el programa antivirus con el fin de actualizarlo en virtud de que Spyware Protect 2009 no permitirá por ningún motivo que a través de Internet se descarguen las actualizaciones más recientes (updates) diseñadas para eliminarlo. En pocas palabras, tras una infección con Spyware Protect 2009 ya no es posible actualizar el programa antivirus, no a menos de que los archivos infectados que impiden la actualización del programa antivirus sean removidos.
Antes de continuar, se vuelve deseable hablar acerca de la existencia de una carpeta dentro de Windows XP llamada Prefetch, cuya ruta de acceso es la siguiente:
__C:\WINDOWS\Prefetch
La carpeta Prefetch no es una carpeta absolutamente indispensable. Fue agregada a Windows XP para mejorar el desempeño del sistema operativo y, a corto plazo, es un éxito. Cada vez que se ejecuta un programa, Windows XP intentará encontrar un archivo prefetch que ya exista para el programa en cuestión, y si lo encuentra, lo utilizará para cargar la aplicación con mayor rapidez. (La palabra inglesa “prefetch” se traduce como “pre-búsqueda”.) Cada archivo prefetch identificado fácilmente por su extensión distintiva .pf es actualizado llevando una cuenta del número de veces que el programa ha sido utilizado por el usuario, de modo tal que entre más se utilice un programa tanto mayor será la disminución en el tiempo de carga de dicho programa en la memoria RAM de la computadora. Si el programa de aplicación al momento de instalarse no cuenta con un archivo prefetch asociado, Windows XP le creará uno. En la carpeta Prefetch se guardan archivos que se crean al instalar y usar programas, acelerando el acceso a ellos, es decir, recuerdan en donde están situados los archivos instalados y los ubican más rápidos, pero cuando estos se desinstalan suelen quedar archivos obsoletos y estos se van acumulando, así que estos por sana práctica deben borrarse, ya que si la carpeta Prefetch crece demasiado esto puede demorar el funcionamiento de su máquina en vez de ayudar. Todos los archivos puestos dentro de esta carpeta pueden ser borrados sin problema alguno, y se recomienda hacer un borrado al menos una vez al mes, sin borrar aquellos archivos puestos en la carpeta Prefetch que ayudan a cargar con mayor rapidez los programas que siguen siendo utilizados ya que esto aumenta el “performance” de Windows XP para cargar los programas más utilizados.
Desafortunadamente, no sólo los programas legítimos pueden llevar a cabo la instalación de archivos de ayuda en la carpeta Prefetch. También pueden hacerlo programas malignos como Spyware Protect 2009 sin esperarse a que Windows XP lo haga, y al hacerlo por su cuenta los programas maliciosos están en condiciones de proporcionar un conjunto adicional de instrucciones para que se ejecute el principal programa infector y si esto no es posible entonces para que se ejecuten otras cosas. A estas alturas a mis lectores tal vez se les esté ocurriendo ir directamente a la carpeta Prefetch para borrar todo lo que pueda tener un título como AVScan.pf o como SpywareProtect2009.pf o como sysguard.pf. Sin embargo, antes de caer en la tentación inmediata de borrar tales archivos indeseables, es altamente deseable mover dichos archivos mediante cortado y empastado hacia otra parte en donde puedan ser localizados (como en la carpeta Mis Documentos) porque en caso de que la infección Spyware Protect 2009 haya agregado uno o varios archivos a la carpeta Prefetch el contenido de dichos archivos no solo apunta directamente hacia las ubicaciones en donde puede haber otros archivos maliciosos sino que apunta también hacia las ubicaciones en el Registro (Registry) en donde fueron agregadas líneas para activar archivos ya infectados. Esta es una información que puede ser útil para algunos programas antivirales. Lo importante es que lo que vaya quedando de Spyware Protect 2009 no encuentre dichos archivos en la carpeta Prefetch en caso de que los haya puesto allí durante el proceso de infección para buscarlos posteriormente en dicha carpeta.
Ahora hablaremos del Registro.
Resulta inconcebible que por un lado Microsoft haya creado el Registro dándole muy pocas pistas al usuario sobre cómo opera éste recurso, agravado con las numerosas advertencias de Microsoft a sus usuarios de que por ningún motivo traten de meterle mano al Registro a menos de que sean unos consumados expertos en ciencias computacionales que saben perfectamente bien lo que están haciendo tal y como lo sabría el poseedor de un Doctorado en Informática; y que al mismo tiempo le haya hecho tan fácil a cualquier intruso operando desde lejos a través de Internet el poder meterle mano a su antojo al Registro haciendo con dicho recurso lo que le dé la gana. Desde el punto de vista de diseño seguro a prueba de ataques, el Registro tiene que ser una de las peores pifias de Microsoft para la cual ya no hay solución posible por el simple hecho de que hay que darle soporte por exigencias de compatibilidad a los miles de programas legítimos creados por terceros para ser instalados en una computadora que trabaja con el sistema operativo Windows. Este no es el único pero que se le puede poner al famoso Registro. Una omisión fatal en el Registro de Windows es que no lleva ninguna cuenta sobre las fechas en las cuales se le han metido nuevas entradas, dificultando enormemente la búsqueda de entradas nuevas metidas dentro del Registro el día y la hora en que ocurrió una infección informática del sistema. Esta capacidad se le podría haber dado al Registro sin problema alguno consumiendo un espacio extra tan pequeñísimo en el disco duro que habría sido considerado despreciable, pero no se le dió porque los programadores de Microsoft nunca consideran tal cosa como necesaria, y tal vez hoy se arrepienten de ello. Lo que puede hacerse para “parchar” esta omisión imperdonable es guardar de vez en cuando una copia del Registro, lo cual permite comparar un Registro que pudo haber sido infectado en cierta fecha contra una copia de un Registro previo de la computadora con la finalidad de detectar diferencias. Esta es precisamente una de las cosas que hace la herramienta “Restaurar sistema” (System Restore) al fijar puntos de restauración, crea una copia completa del Registro para cada punto de restauración, lo cual es una medida inútil si el intruso ha deshabilitado la capacidad del sistema para volver la máquina a un punto de restauración previo con esta herramienta de Windows.
Meterle la mano al Registro es una cosa seria, tan seria que para hacerlo se requiere la ayuda de un programa especial de Windows conocido como el “Editor del Registro”, el programa regedit.exe, y antes de hacer cualquier cambio al Registro se recomienda fuertemente hacer una copia completa del Registro que nos permita regresar al estado de cosas anterior en caso de que las cosas no salgan como esperábamos. A continuación tenemos el procedimiento para poder accesar el Registro para lo que queremos llevar a cabo empezando por la prioridad número uno que es la búsqueda de programas que puedan ser echados a andar por el virus informático cada vez que se encienda la computadora:
1) Empezamos con el botón “Inicio” de Windows situado en el extremo inferior izquierdo que nos lleva a la línea “Ejecutar...” (Run...).
2) Activamos la línea “Ejecutar...” abriendo con ello una ventanita titulada precisamente “Ejecutar”.
3) En el espacio en blanco correspondiente a “Abrir:”, escribir “regedit” (sin las comillas), y oprimir el botón “Aceptar” (OK). Esto nos abre el “Editor del Registro”:
Una vez abierta la ventana principal del Editor del Registro, podemos inspeccionar las entradas del Registro en una forma similar a como lo hacemos utilizando el Windows Explorer del sistema operativo Windows. A manera de ejemplo, con la ayuda del Editor del Registro podríamos ver una ventana como la siguiente:
que nos muestra los contenidos puestos en la ruta:
__Mi PC\HKEY_LOCAL_MACHINE\SYSTEM
______\CurrentControlSet\Services\Cdrom
Estos contenidos variarán de máquina a máquina dependiendo no sólo del tipo de máquina (los componentes con los que está construída) sino también de los programas que el usuario haya estado instalando en su máquina, además de lo que una infección informática haya metido dentro del mismo Registro.
4) Lo primero que debemos hacer es una copia completa del “Editor del Registro”. Nos vamos a la línea del menú del Editor del Registro en donde dice “Archivo” y escogemos la opción “Exportar...”. Le damos a la copia que vamos a hacer un nombre que podamos recordar fácilmente, y hacemos el respaldo del Registro.
5) Hecho lo anterior, estamos listos para empezar a editar entradas del Registro. En este caso, lo que haremos será llevar a cabo una remoción de entradas que correspondan a la infección de Spyware Protect 2009 y únicamente las entradas relacionadas con esa infección.
A manera de ejemplo, a continuación tenemos algunas entradas en el Registro que han sido utilizadas en el pasado reciente por Spyware Protect 2009 y su predecesor AVScan para especificar la injerción de su código malicioso, entradas que se deben eliminar del Registro en caso de ser encontradas debajo del bloque HKEY_CURRENT_USER (el proceso de borrado se lleva a cabo con el usando la opción de la línea del menú titulada “Edición” seleccionando “Eliminar”, con lo cual se borra la línea agresora):
__HKEY_CURRENT_USER\Software\AvScan
__HKEY_CURRENT_USER\Software\Spyware Protect 2009
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run "sysguardn"
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\sysguardn
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\sysguard.exe
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run\Mmexofumutokara
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Explorer\Browser Helper
__Objects\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
______{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
Todas las entradas puestas en el Registro dentro de
__HKEY_CURRENT_USER\Software\Microsoft\Windows
______\CurrentVersion\Run
son las que especifican precisamente los programas (aplicaciones, procesos) que se echarán a andar automáticamente sin intervención alguna del usuario en cuanto el sistema operativo Windows XP se haya terminado de instalar en la memoria RAM de la computadora. Aquí es donde seguramente vamos a encontrar una línea especificando al principal programa de la infección (sysguard.exe o algún otro nombre nuevo con el que se hayan elaborado las versiones más recientes de Spyware Protect 2009) porque la intención de los escritores del código malicioso es que el programa arranque de inmediato sin que el usuario infectado se dé cuenta y antes de que el usuario tenga oportunidad alguna de poder hacer cualquier cosa. Es lógico que se especifique en el Registro el arranque automático al inicio del encendido de la máquina infectada del programa invasor, porque se sobreentiende que el usuario jamás echará a andar un virus ejecutable como Spyware Protect 2009 por cuenta propia (exceptuando a quienes hayan caído en la trampa y hayan enviado su dinero creyendo que estaban comprando un programa de protección contra este tipo de infecciones). Es necesario que Spyware Protect haga lo posible para tratar de arrancar por cuenta propia al inicio de operaciones sin intervención o conocimiento alguno del usuario. De cualquier modo, y en previsión de que el usuario haya detectado la presencia en su máquina de Spyware Protect 2009 al aparecer las molestas ventanas pop-up promocionando el desastroso producto, algunas de las variantes más recientes están tratando de llevar a cabo cuanto antes la infección de todos los navegadores que tenga instalada la máquina, empezando con el navegador registrado como el navegador de inicio (default) así como de los Messenger e inclusive del programa antivirus para evitar ser neutralizadas. Es por esto que es altamente recomendable eliminar todos los navegadores y volver a cargarlos de nuevo cuanto antes una vez que se hayan removido los focos de infección.
En posible que aquellos temerosos de recurrir al “Editor del Registro” de Windows por su falta de experiencia se sientan tentados a recurrir a un programa como Registry Mechanic que también se puede obtener del sitio download.com, el cual al 4 de marzo de 2009 en su versión 8.0.0.900 tenía un tamaño de 7.340 Mb y supuestamente tenía acumuladas ya más de 8 millones y medio de descargas de todas partes del mundo (es posible que una buena parte de estas descargas haya sido realizada por la misma empresa que vende este producto con el propósito de aumentar el rating del producto en Internet). Desafortunadamente, la versión gratuita de Registry Mechanic pone un límite de reparaciones a las seis primeras secciones del programa y en su versión gratuita ofrece una accesibilidad limitada a un mes. Pero además de estas limitaciones y restricciones severas, dá la casualidad de que Registry Mechanic es producido por la misma empresa que fabrica otro programa llamado Spyware Doctor del cual tratamos en otra entrada de esta bitácora titulada “Las herramientas inútiles”, la empresa PC Tools. Después de haber leído lo que está puesto aquí acerca de la empresa PC Tools y su programa Spyware Doctor, los usuarios sabrán mejor si quieren tomarse la molestia de descargar e instalar en su computadora cualquiera de las dos versiones de Registry Mechanic (la versión gratuita o la versión de paga).
En el abuelo predecesor de Spyware Protect 2009, AVScan, con la ayuda del Editor del Registro era posible localizar con facilidad las siguiente entradas que podían ser borradas de inmediato:
__HKEY_CURRENT_USER\Software\avscan aazalirt
__HKEY_CURRENT_USER\Software\avscan dkekkrkska
__HKEY_CURRENT_USER\Software\avscan dkewiizkjdks
__HKEY_CURRENT_USER\Software\avscan id
__HKEY_CURRENT_USER\Software\avscan iddqdops
__HKEY_CURRENT_USER\Software\avscan ienotas
__HKEY_CURRENT_USER\Software\avscan iqmcnoeqz
__HKEY_CURRENT_USER\Software\avscan irprokwks
__HKEY_CURRENT_USER\Software\avscan jikglond
__HKEY_CURRENT_USER\Software\avscan jiklagka
__HKEY_CURRENT_USER\Software\avscan jrjakdsd
__HKEY_CURRENT_USER\Software\avscan jungertab
__HKEY_CURRENT_USER\Software\avscan kitiiwhaas
__HKEY_CURRENT_USER\Software\avscan kkwknrbsggeg
__HKEY_CURRENT_USER\Software\avscan klopnidret
__HKEY_CURRENT_USER\Software\avscan krkdkdkee
__HKEY_CURRENT_USER\Software\avscan krkmahejdk
__HKEY_CURRENT_USER\Software\avscan krtawefg
__HKEY_CURRENT_USER\Software\avscan krujmmwlrra
__HKEY_CURRENT_USER\Software\avscan ktknamwerr
__HKEY_CURRENT_USER\Software\avscan kuruhccdsdd
__HKEY_CURRENT_USER\Software\avscan ooorjaas
__HKEY_CURRENT_USER\Software\avscan oranerkka
__HKEY_CURRENT_USER\Software\avscan oropbbsee
__HKEY_CURRENT_USER\Software\avscan otnnbektre
__HKEY_CURRENT_USER\Software\avscan otowjdseww
__HKEY_CURRENT_USER\Software\avscan otpeppggq
__HKEY_CURRENT_USER\Software\avscan ready
__HKEY_CURRENT_USER\Software\avscan rkaskssd
__HKEY_CURRENT_USER\Software\avscan ronitfst
__HKEY_CURRENT_USER\Software\avscan salrtybek
__HKEY_CURRENT_USER\Software\avscan seeukluba
__HKEY_CURRENT_USER\Software\avscan skaaanret
__HKEY_CURRENT_USER\Software\avscan tobmygers
__HKEY_CURRENT_USER\Software\avscan tobykke
__HKEY_CURRENT_USER\Software\avscan zibaglertz
Obsérvese que todo el material está puesto en el apartado de software bajo la entrada avscan.
Pero en el caso de su sucesor Spyware Protect 2009, todo parece haber cambiado; muchas de las anteriores entradas ya no aparecen, y de hecho están apareciendo constantemente variantes (mutaciones) del programa con nuevos nombres con lo cual el creador (o los creadores) del virus intenta estar un paso adelante de la detección de los programas antivirus (lo cual posiblemente llegará a su fin en cuanto sea localizado y arrestado por las autoridades del país desde donde está operando).
Nos acercamos al momento de apagar la computadora. Pero antes de hacerlo, queremos cerciorarnos de que al arrancarla de nuevo no se echará a andar automáticamente un programa o varios programas dudosos que hayan sido puesto en la lista de inicio por el virus. Esto se logra con el uso de la herramienta Windows de “Utilidad de Configuración del Sistema”. Para ello el procedimiento es el siguiente:
1) Empezamos con el botón “Inicio” de Windows situado en el extremo inferior izquierdo que nos lleva a la línea “Ejecutar...” (Run...).
2) Activamos la línea “Ejecutar...” abriendo con ello una ventanita titulada precisamente “Ejecutar”.
3) En el espacio en blanco correspondiente a “Abrir:”, escribimos “msconfig” (sin las comillas), y oprimimos el botón “Aceptar” (OK). Esto nos abre la “Utilidad de Configuración del Sistema”.
4) Recurrimos a la sexta pestaña de la ventana que es la pestaña de “Inicio”, con la cual aparece una ventana como la siguiente indicándonos claramente cuáles son los programas que son echados a andar automáticamente cada vez que arranca la computadora:
5) Desmarcamos los casilleros de los programas cuyo arranque automático queremos desactivar, y oprimimos el botón de “Aceptar”. Esto no nos detiene los programas que ya se echaron a andar cuando arrancó la computadora, para ello es necesario recurrir al Administrador de Tareas o bien apagar la computadora y volver a encenderla. En la ventana de ejemplo mostrada arriba hay nueve programas que se echan a andar al iniciar sus operaciones la computadora, de los cuales podemos desmarcar los casilleros correspondientes a msmsgs y Yahoo Messenger (esto desactivará cualquier posibilidad de que el virus intente echar a andar los Messenger de Windows y Yahoo cuando se encienda la computadora). Podemos desmarcar también las últimas tres líneas (Microsoft Office, Symantec Fax Starter Edition, Adobe Reader Speed Launch) para no tener dichos programas puestos en funcionamiento al volverse a encender la computadora. Después podemos volver nuevamente a marcar los casilleros.
Hecho todo lo anterior, ha llegado el momento de apagar la computadora, la cual cuando arranque otra vez no ejecutará sysguard.exe al haber sido borrado este archivo infector y al haber sido borrada la entrada en el registro que la pone en movimiento.
Ahora debemos obtener en otra computadora que no esté infectada las versiones más recientes de los navegadores y de los Messenger que borramos de la computadora infectada.
¿Por qué no es recomendable utilizar la misma computadora infectada para bajar los navegadores y los Messenger? Por la sencilla razón de que al bajar dichos programas en una computadora que ya está infectada en cuanto termine el proceso de descarga el archivo infector puede modificar cada programa de instalación de los navegadores y de los Messenger y cualquier otro programa anexando su propio código ejecutable que puede inutilizar aún más los programas bajados. Así, al bajar el Mozilla Firefox, si el archivo ejecutable de instalación tiene un tamaño de 16.2 Mb, entonces los archivos infectores en la máquina le pueden anexar un código adicional haciéndolo un poco más grande, digamos a unos 16.7 Mb, pero dejándole el mismo nombre para no despertar sospechas. De este modo, cuando un usuario está instalando el Mozilla Firefox en una máquina infectada en realidad está instalando un Mozilla Firefox que acaba de ser infectado en la misma máquina, lo cual lo deja igual o peor que como ya estaba.
De este modo, en otra máquina libre de infecciones, el afectado deberá conformar un paquete de varios programas completos de instalación (Mozilla Firefox, Yahoo Messenger, plataforma Java, etc.) para instalarlos en la máquina infectada. Pero estos programas los debe llevar grabados en un disco CD-ROM. La razón para esto es obvia. Si se los lleva grabados en un flash drive USB, puesto que los contenidos de la memoria flash drive USB pueden ser manipulados y alterados se corre el riesgo de que los archivos infectores en la computadora infectada alteren los archivos ejecutables de instalación que se lleven en el flash drive. En cambio, los contenidos del CD-ROM son inmunes ya que no hay forma de borrar el contenido de un CD-ROM alterándolo para poner otro tipo de contenidos diferentes de los originales. Un CD-ROM es como un disco comercial de música, los contenidos de lo que tiene permanecerán iguales a lo largo de la vida del CD-ROM.
Existe otra diferencia importante entre los discos CD-ROM y los flash drives como medios de almacenamiento para ser usados en casos de emergencias como ésta. Mientras que cada flash drive que es conectado a una computadora tiene que ser reconocido por ella tras un proceso de instalación automática de unos programas especiales conocidos como drivers que proporciona cada flash drive, los cuales una vez instalados pueden ser borrados o alterados con código malicioso por un programa infector que se puede encargar de que la computadora deje de reconocer todos los flash drives que antes podía reconocer, esto no puede ocurrir con los lectores de los CD-ROM porque estos últimos van conectados directamente a la tarjeta madre (motherboard) de la máquina que contiene toda la electrónica alambrada de fábrica, una conexión del lector a la tarjeta madre que se puede llevar a cabo en el interior de la computadora ya sea con cables de electrónica paralela (IDE) o electrónica serial (SATA) de modo tal que los discos CD-ROM siempre podrán ser reconocidos por los lectores de CD-ROM instalados en las máquinas aunque el sistema operativo Windows XP esté infectado.
El procedimiento para buscar y borrar todos los archivos residuales relacionados con el virus infector será el tema a tratar en la tercera entrada de ésta bitácora, titulada “El borrado manual de archivos de infección”.
Suscribirse a:
Entradas (Atom)