sábado, 10 de abril de 2010

10: Eliminación manual del virus "olhrwef.exe"

El ataque montado por el virus informático Spyware Protect 2009 en sus nuevas mutaciones no está llegando solo, trae incorporados otros troyanos maliciosos cuyo código está siendo agregado por los creadores de Spyware Protect 2009 ya sea con el fin de darle al usuario infectado mayores motivos para que les haga el pago que ellos le piden con el fin de liberarlo de un troyano que ellos mismos metieron, o para fastidiar al usuario que ha logrado cierto éxito en la remoción manual del virus Spyware Protect 2009, activando dichos troyanos en venganza por las acciones tomadas por el usuario en contra de su creación.

Uno de tales troyanos, extraordinariamente malicioso y el cual parece haber sido creado originalmente en China con propósitos de espionaje industrial y militar, es el troyano olhrwef.exe, el cual en una de sus variantes más populares trabaja en combinación con otro archivo dañino, el archivo jm3cx96.bat que actúa como su clon. Este duo maligno posee la propiedad de que una vez activado se mete dentro del Registro del sistema operativo Windows XP de la máquina infectada modificándolo para que el usuario no pueda echar mano de la herramienta para ver archivos ocultos, lo cual le impide encontrarlos en el disco duro de su máquina y lo cual le impide borrarlos. Es fácil darse cuenta de una infección de esta naturaleza. Todo lo que tenemos que hacer es irnos al menú del Windows Explorer y echar mano en “Herramientas” de la opción “Opciones de carpeta...” en la pestaña “Ver”, marcando el casillero “Mostrar todos los archivos y carpetas ocultos” (lo cual desmarca el casillero “No mostrar archivos ni carpetas ocultos”). Al cerrar la ventana de “Herramientas”, el usuario está en la creencia de que ya puede ver los archivos y las carpetas ocultos. Sin embargo, si vuelve al menú del Windows Explorer y echando mano nuevamente de la opción “Opciones de carpeta...” le echa un vistazo a ver si el cambio que hizo sigue en pie, encontrará que el casillero “No mostrar archivos ni carpetas ocultos” está marcado y el casillero “Mostrar todos los archivos y carpetas ocultos” está desmarcado; y todo ocurrió de manera tan rápida que ni siquiera se dió cuenta de ello. Y si vuelve a repetir la acción, nuevamente la acción es deshecha, sin importar cuántas veces lo haga. Lo que está sucediendo es que el par olhrwef.exe y jm3cx96.bat actuando en combinación está ejecutando interminablemente un bucle repetitivo de código que está metiéndole mano al Registro alterándolo para que no se puedan ver los archivos ocultos. Y como el usuario no puede ver los archivos ocultos que están ejecutando dicho código malicioso (posiblemente haciendo a la computadora mucho más lenta e inclusive cortando de plano la conexión a Internet), no puede borrarlos.

Aún es posible hacerle frente a la situación anterior, pero para ello es necesario borrar primero los archivos que están metiéndole mano al Registro para impedir ser vistos. Obviamente, esto no se puede hacer desde la computadora al estar trabajando con Windows XP en su modo normal. Es necesario entrar en Modo seguro e inclusive es necesario hacerlo en la ventana de comandos DOS. El procedimiento para hacerlo (y el cual requiere alguna familiaridad con el uso de la ventana de comandos) es el siguiente:

(1) Encendemos la computadora en el Modo seguro (Safe Mode). Esto se logra oprimiendo la tecla F8 cuando apenas hemos encendido la computadora y aún no se ha empezado a cargar el sistema operativo Windows XP. Puesto que suponemos que la línea telefónica que conectaba a la computadora a Internet ha sido desconectada por el usuario, resulta superfluo encender la máquina en Modo seguro con funciones de red con lo cual tendríamos una conexión a Internet bajo Modo seguro, y no deseamos hacer esto aún ante el riesgo de lo que pueda haber aún dentro de la computadora. La ventana de inicio con la cual seleccionamos tiene el siguiente aspecto:





(2) Seleccionamos la opción “Modo seguro con símbolo del sistema”.

(3) Una vez que ha aparecido la ventana de comandos, ascendemos hacia arriba repitiendo cuantas veces sea necesario el comando DOS

cd..

para llegar hasta el directorio raíz (C:), y descendemos cambiando de directorio primero al directorio WINDOWS

cd WINDOWS

y bajando de allí al directorio system32

cd system32

(4) Una vez que estamos allí, podemos examinar los contenidos de dicho directorio. Sin embargo, antes de hacer tal cosa, ejecutamos el comando DOS attrib con las siguientes cuatro opciones:

attrib -r -s -h -a

La ejecución de este comando DOS remueve de todos los archivos en este directorio (mientras permanezcamos en él) los atributos de read only (-r, lectura únicamente), system (-s, sistema), hidden (-h, oculto) y archive (-a, archivo). Esto nos permite una lectura transparente de todo lo que hay en dicho directorio sin que se nos oculte nada (a menos de que los hackers criminales hayan encontrado la forma de burlar esta opción).

(5) Para examinar el contenido del directorio, usamos el comando DOS dir con la opción de pausa /p

dir /p

La opción de pausa /p es necesaria porque si no recurrimos a ella una vez que se llena la ventana el texto de los contenidos del directorio se va desplazando rápidamente hacia arriba impidiéndonos ver excepto las últimas líneas que queden en la pantalla cuando se haya terminado de ejecutar el comando.

Es importante ir leyendo no sólo los nombres de los archivos sino las fechas en las cuales fueron creados dentro del sistema operativo, en este caso en el directorio system32, con el fin de ver qué otros archivos además de olhrwef.exe y jm3cx96.bat pudieran haber sido metidos el día en el que ocurrió la infección.

Al irse mostrando los archivos, estos irán apareciendo en orden alfabético.

(6) Si al ir revisando los contenidos de la carpeta encontramos el archivo olhrwef.exe, el cual en su variante más común tiene un tamaño de 109,141 bytes, hay que borrarlo de inmediato con el siguiente comando DOS:

del olhrwef.exe

(7) Si al ir revisando los contenidos de la carpeta encontramos el archivo jm3cx96.bat, el cual en su variante más común también tiene un tamaño de 109,141 bytes, hay que borrarlo de inmediato con el siguiente comando DOS

del jm3cx96.bat

Como ya se señaló, el gusano olhrwef.exe casi nunca llega solo. Casi siempre viene acompañado de un archivo malicioso que apareció por vez primera bajo el nombre jm3cx96.bat, el cual ha estado siendo cambiado tanto en nombre como en tamaño de archivo y estructura de código para dificultarle a los programas antivirus su detección.

(8) Si al ir revisando los contenidos de la carpeta encontramos el archivo autorun.inf, el cual en su variante más común tiene un tamaño de apenas 93 bytes, hay que borrarlo de inmediato con el siguiente comando DOS

del autorun.inf

Este pequeño archivo es precisamente el que sirve de entrada a los infectores principales propagándolos a través de los medios de almacenamiento removibles como los flash drives USB y los discos duros portátiles. Puesto que el gusano olhrwef.exe es un gusano que en la mayoría de sus variantes se reproduce a través de medios de almacenamiento removibles tales como los discos duros portátiles y los flash drives que se conectan a los puertos USB, para eliminar la infección que los haya contaminado es necesario borrar del directorio raíz no solo de la computadora infectada sino de cada medio de almacenamiento portátil que haya sido conectado a la máquina el archivo autorun.inf. Cualquier medio de almacenamiento portátil que haya sido conectado a la computadora debe ser inspeccionado por la presencia de este archivo malicioso y debe ser liberado del mismo. Obsérvese cómo el infector principal se esconde bajo un nombre aparentemente inocuo, bajo el nombre de un archivo que dá las instrucciones al sistema operativo Windows sobre lo que debe de ejecutarse automáticamente cuando el medio removible de almacenamiento sea conectado a una máquina, infectándola en caso de que aún no esté infectada.

(9) Si al ir revisando los contenidos de la carpeta encontramos el archivo nmdfgds1.dll, el cual en su variante más común tiene un tamaño de 100,864 bytes, hay que borrarlo de inmediato con el siguiente comando DOS

del nmdfgds1.dll

Este archivo usualmente forma parte de los archivos infectores olhrwef.exe, jm3cx96.bat y autorun.inf, y de hecho es común que el invasor para protegerse haga uno o varios clones del mismo titulándolos como nmdfgds0.dll, nmdfgds2.dll, nmdfgds3.dll, nmdfgds4.dll y nmdfgdsX.dll, en donde X puede ser cualquier número. Todos estos archivos deben ser borrados desde la ventana de comandos DOS obtenida del Modo seguro.

(10) No basta con haber hecho una búsqueda exhaustiva. Tenemos que ascender al directorio de WINDOWS con el comando DOS

cd..

que después de haber estado en el directorio system32 nos lleva hacia arriba al directorio WINDOWS. Una vez en dicho directorio, repetimos el comando attrib en la forma que ya se señaló anteriormente:

attrib -r -s -h -a

Nuevamente, llevamos a cabo una búsqueda de archivos infectores en la forma que ya se señaló arriba. Una vez que hemos terminado de inspeccionar el directorio WINDOWS, nos vamos hacia arriba para ver el directorio raíz para repetir nuevamente nuestra búsqueda por los archivos infectores ya señalados o por sus clones, usando en ventaja nuestra sus tamaños y sus fechas de creación dentro del disco duro.

(11) Repetimos el procedimiento anterior en otras localidades en las cuales tengamos alguna sospecha de que haya archivos infectores. Esto es importante porque los delincuentes informáticos evitan poner todos sus archivos infectores en un solo directorio con el fin de que si uno es borrado en un directorio aún queden otros en otros directorios que puedan reconstituír la infección.

(12) La única forma de salir de esta ventana de comandos habiendo entrado a ella desde el Modo seguro es invocando el Administrador de Tareas de Windows con la combinación de teclas Ctrl-Alt-Del y yendo al menú de la ventana en donde dice Apagar (Shutdown) escogiendo la opciónDesactivar(Turn off). Aunque posiblemente se quiera optar por la opción de reiniciar la computadora, en Modo seguro, para continuar con lo que se considere necesario hacer que haya quedado pendiente.

(13) Queda todavía un paso pendiente para la remoción total del virus, el cual se debe llevar a cabo arrancando la máquina en Modo seguro normal. Con la ayuda del “Editor del Registro”, removemos la siguiente entrada del Registro que es la que se encarga de echar a andar este gusano cada vez que se enciende la máquina:

__HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
____\CurrentVersion\Run "cd00soft"