La mejor manera de iniciar en una máquina la purga de una infección informática tan brutal como la que cometen Spyware Protect 2009 y sus imitadores es adentrándonos en la mente del hacker y tratar de imaginar cómo piensa el hacker así como la manera en la cual está tratando de burlarnos para garantizar el éxito y la permanencia de la infección. Podemos equipararlo a un juego de ajedrez en el cual el hacker está tratando de anticipar todos nuestros movimientos posibles para neutralizar lo que podamos hacer en contra de su obra, y nosotros al anticipar lo que él ha anticipado estamos en condiciones de estar un paso adelante de él. Aquí vamos a tratar de pensar en la manera como piensa el hacker.
a) La primera pregunta que se hará el hacker es: ¿qué nombre habré de darle a mis archivos infectores? Los nombres deben ser nombres que oculten la verdadera intención de los archivos. Es por ello que los troyanos y sus colegas infectores suelen tener nombres tan poco descriptivos como nmdfgds1.dll y jm3cx96.bat.
b) ¿Existe la posibilidad de que el usuario victimizado intente llevar a cabo la remoción manual de archivos infectores guiándose por el nombre de ellos? De ser así, entonces hay que esconderlos bajo nombres que inclusive puedan parecer legítimos. Un nombre como sysguard.exe puede desalentar a la víctima al borrado de tal archivo al hacerla creer que se trata de un archivo propio del sistema operativo Windows XP cuya función es hacerla de guardia protectora para el sistema operativo. Otro nombre podría ser explorerhelper.dll con el cual se le querrá hacer creer a la víctima que se trata de un archivo propio del sistema operativo Windows XP para ayudar al Explorer de Windows. Existen muchos otros nombres engañosos de archivos que aunque parecen ser parte íntegra de Windows XP de hecho están plenamente identificados como troyanos y virus, entre los cuales tenemos los siguientes (los cuales si el lector llega a encontrar algún día en su computadora los debe remover de inmediato en cuanto haya confirmado la naturaleza de los mismos):
____microsoft.exe
____windows.exe
____desktop.exe
____documents.exe
____templates.exe
____favorites.exe
____startup.exe
____accesories.exe
____links.exe
____musica.exe
____fonts.exe
Los criminales informáticos llegan a los extremos de usurpar inclusive nombres de programas ampliamente utilizados con fines legítimos por empresas conocidas. Un ejemplo de ellos es el infector 9.0.exe que tiene el mismo nombre de archivo que un archivo ejecutor distribuído independiente (y con distinto contenido) tanto por Macromedia Flash Player y Adobe Acrobat Reader. Todas estas son tácticas y estrategias para confundir y sembrar dudas. Las posibilidades de nombres engañosos son casi ilimitadas.
c) ¿Se puede aumentar la virulencia de un programa malicioso incorporándole código que ya hayan elaborado previamente otros redactores de virus y troyanos? Con tal fin, buscar la mayor cantidad posible de troyanos e infectores que estén apareciendo en Internet, sobre todo los más recientes que aún no han sido identificados por las empresas antivirus, seleccionando a los mejores (los más dañinos) con el fin de incorporarlos dentro del virus que se está diseñando, con la meta de crear así un “supervirus”.
d) Cambiarle constantemente el nombre al archivo infector (o a los archivos infectores), y no solo ello, sino inclusive modificar las instrucciones a nivel de lenguaje de máquina que contiene así como estarle cambiando su tamaño, con la finalidad de alterar su identidad digital que usan los programas antivirus para reconocerlo.
e) Pese al uso de nombres astutos y engañosos, ¿existe la posibilidad de que el usuario pueda buscar y encontrar por sí mismo los archivos infectores? En ese caso, hay que meterle mano al Registro (Registry) de Windows XP para poder deshabilitar desde el mismo la capacidad del usuario para poder encontrar los archivos ocultos. Así, aunque el usuario entre en los directorios, no podrá leer los nombres de todos los archivos que están allí.
f) ¿Existe la posibilidad de que el usuario pueda habilitar por sí mismo la capacidad para volver a activar desde el Registro las herramientas de Windows XP que permiten ver a los archivos infectores? En ese caso, hay que estarle metiendo mano al Registro (Registry) de Windows XP miles de veces por segundo para poder estar deshabilitando desde el mismo la capacidad del usuario para poder ver los archivos ocultos. Así, aunque el usuario pueda restablecer al Registro a sus condiciones normales, seguirá sin poder leer los nombres de todos los archivos que están allí.
g) ¿Existe la posibilidad de que el usuario trabajando desde el Modo seguro pueda borrar por sí mismo los archivos que estén interfiriendo con la operación normal del Registro, de modo tal que una vez que lo haya logrado proceda a borrar todos los archivos infectores? En este caso y desde el momento en el que se lleva a cabo la infección, hay que crear dentro de la máquina infectada a la menor brevedad posible varios archivos backups de reserva, clones de los archivos infectores originales, poniéndolos en otros directorios y carpetas en donde sea más difícil encontrarlos, para que en caso de que el usuario borre parcialmente o inclusive todos los archivos infectores estos puedan ser restablecidos nuevamente a partir de sus clones de reserva. Naturalmente, cada clon deben tener un nombre distinto al nombre del archivo infector original con el fin de que la víctima no pueda buscar y encontrar otro archivo con el mismo nombre en otro directorio. Sin embargo, si la víctima se está guiando por la fecha de creación de cada archivo y el tamaño del archivo, esta artimaña de ocultamiento no servirá de mucho al intruso.
h) Escribir el virus para que sea multinivel, en forma similar a los niveles de dificultad utilizados en los videojuegos, de modo tal que en una fecha posterior al día en el que se infectó una máquina se vayan creando y “despertando” de su hibernación nuevos archivos con nuevos nombres al encenderse la máquina, aunque la máquina no esté conectada a Internet. De esta manera, si el usuario logra purgar manualmente la infección en su primer nivel, se activará el segundo nivel de la infección, y si el usuario logra descubrir este segundo nivel de infección purgándolo de su computadora, entonces el siguiente paso será activar el tercer nivel, y así sucesivamente, castigando al usuario tenaz con infecciones cada vez más severas. Esto implica dejar las infecciones más obvias para los primeros niveles en los cuales el usuario crea que con el solo hecho de haber detenido la ejecución de un programa como sysguard.exe y borrarlo de su computadora ya la liberó del ataque, dejando los ataques más difíciles de remover para los últimos niveles de dificultad.
i) Dificultar e inhabilitar constantemente el acceso de la máquina a Internet a no ser que sea para permitirle al troyano o al virus infector conectarse con los creadores del virus para que puedan ver los contenidos de la máquina (documentos, fotografías, claves de seguridad, programas, etc.) Impedir que la máquina se pueda conectar a los sitios de cualquiera de las cinco o diez empresas más conocidas que elaboran productos antivirales, con el fin de impedir la procuración de ayuda.
j) ¿Existe la posibilidad de que el usuario trate de recurrir a la herramienta de Windows XP para llevar a cabo la “Restauración del sistema” de su máquina con la cual en cuestión de minutos pueda regresar a su máquina a un estado previo al día en que ocurrió la infección, nulificando por completo el ataque infector? En tal caso, hay que deshabilitar la herramienta de restauración del sistema haciéndolo desde el Registro, o mejor aún alterando el programa ejecutor principal rstrui.exe infectándolo. Puesto que el método usado para la restauración del sistema es un procedimiento simplístico, es fácil que termine archivando no sólo archivos de uso legítimo sino inclusive archivos infectores. Y si un conjunto de archivos infectores es restaurado por esta herramienta, de manera inadvertida se puede terminar restaurando un virus o un troyano del que no se tenía conocimiento previo.
k) ¿Tratará el usuario de recuperar su herramienta “Restauración del sistema” en su máquina recurriendo al archivo sr.inf? En tal caso, borrar dicho archivo, o mejor aún, infectarlo.
l) El último paso es el más obvio, y consiste en planear en la diseminación de alguna manera del troyano con el cual se quiere enviar al resto de los archivos infectores hacia una máquina sobre la cual se va a llevar a cabo un ataque. Esto no se puede lograr a través de sitios como google.com, yahoo.com, att.com, microsoft.com. El lugar ideal para ello es recurrir a los foros de chat, a los foros de reuniones públicas y a lugares como el portal sueco thepiratebay.org en los cuales se intercambian libremente archivos de computadora a computadora bajo un completo anonimato. Con la promesa de archivos fotográficos de índole pornográfica o de programas gratuitos, posiblemente bajo la oferta de que se trata de programas gratuitos que ayudan a eliminar virus y troyanos infectores, hay muchos que muerden el anzuelo y caen en la trampa.
Lo anterior debe servirnos como indicación de que la primera purga que se lleve a cabo de un virus informático debe ser lo más completa posible sin dejar nada pendiente, ya que cualquier cabo suelto que dejemos pendiente puede activar el día de mañana un ataque recrudecido empezando con el restablecimiento de todos los archivos infectores que creíamos haber borrado.
Se nos debe tratar de ocurrir todo lo que se le pueda ocurrir al hacker invasor con el fin de poder mantenernos un paso adelante de él, de forma tal que utilizando las herramientas ya descritas en este trabajo podamos purgar una computadora por completo de una o varias infecciones informáticas. Y al hacerlo por nuestra propia cuenta, nos sentiremos más seguros de nuestras máquinas.
A fines de enero y principios de febrero de 2009 estalló en Internet la proliferación de un virus extremadamente potente y maligno de la clase conocida como spyware. En este documento se discute un procedimiento sobre cómo eliminar no sólo este virus sino cualquier virus que haya infectado una computadora.
Seguidores
Archivo del blog
-
▼
2010
(18)
-
▼
abril
(18)
- Prólogo
- Indice
- 1: Un virus informático maligno
- 2: Remoción manual del virus Spyware Protect
- 3: El borrado manual de archivos de infección
- 4: Las herramientas inútiles
- 5: Procedimiento general de remoción
- 6: Procedimiento “top-down” de búsquedas
- 7: Un caso hipotético
- 8: Restauración de función ver archivos ocultos
- 9: La usurpación de la “Restauración del sistema”
- 10: Eliminación manual del virus "olhrwef.exe"
- 11: La mente del hacker
- 12: Mantenimiento preventivo
- La nueva generación
- El contraataque I
- El contraataque II
- La nueva amenaza de 2011
-
▼
abril
(18)
