sábado, 10 de abril de 2010

1: Un virus informático maligno

Recientemente a través de mis servicios como consultor privado me ha tocado tener que lidiar con varios caso de una infección viral extremadamente potente, uno de los virus informáticos más perniciosos que haya visto y el cual no me asombraría que llegara a ser uno de los males que encabezarán la lista de infecciones para el 2009. Se trata de Spyware Protect 2009. En este documento que consta de varias entradas proporcionaré a mis lectores un procedimiento general que puede ser utilizado para remover el virus Spyware Protect 2009. Este mismo procedimiento de remoción del virus puede ser utilizado exitosamente para la remoción de cualquier otro virus recibido a través de Internet y es por lo tanto de carácter general. Aunque el procedimiento que daré aquí es aplicable a Windows XP, con algunas ligeras modificaciones puede ser extendido a otros sistemas operativos tales como Windows 98 y Windows Vista, de manera tal que este documento puede ser visto como un tutorial para llevar a cabo la remoción de cualquier virus informático que se le haya metido a una computadora a través de Internet.

Pero antes de entrar en materia, es necesario hablar un poco acerca de lo que es Spyware Protect 2009.

Spyware Protect 2009, también conocido como SpywareProtect2009, SpywareProtect 2009 y Spyware Protect2009 (obsérvese que la diferencia está únicamente en los espacios en blanco entre las palabras) es un programa anti-espía falso que muestra un icono en la bandeja de la computadora infectada (en el extremo inferior derecho) indicando que el equipo está infectado por un programa espía, una advertencia que tal vez sea el peor de los cinismos. Spyware Protect 2009 utilizará mensajes de seguridad falsos para incitarle a la víctima a descargar su software completo y le animará a comprar la versión completa de Spyware Protect 2009. Spyware Protect 2009 es un clon de XLG Privacy Control Center cuya ventana una vez instalado en Windows XP tenía el siguiente aspecto:





El “XLG Privacy Control Center” trabajaba usando el código del programa malicioso AVScan utilizado ahora por Spyware Protect 2009 que no ofrece protección alguna contra nada y por el contrario es una de las peores amenazas que enfrenta hoy el usuario de Internet. Una variante de dicho programa la encontramos también en otro paquete promocionado bajo el nombre Antivirus 2009. Quienes caían en la trampa de pagar por la subscripción de este último, al tenerlo instalado en su máquina y al tenerlo operando podían ver una ventana como la siguiente con la cual el programa les informaba que supuestamente estaba detectando y estaba eliminando programas espías instalados dentro de la máquina:





Pero todo esto es una ilusión porque estos programas forjados por empresas criminales e instalados inicialmente en las máquinas a través de tácticas de intimidación y chantaje en realidad no hacen nada de lo que dicen estar haciendo, ciertamente no sirven para remover otras infecciones informáticas virales contraídas a través de Internet, lo único para lo que podrían servir es para remover de una máquina la principal infección de todas, ellos mismos, y esto no lo van a hacer, al menos no mientras les esté entrando mucho dinero en los bolsillos de parte de sus subscriptores a los cuales les están “vendiendo protección” al estilo de como solían hacerlo las mafias de Chicago a los pequeños negocios y empresarios a fin de que no les fuera a ocurrir nada malo. Dada la enorme similitud en los procedimientos de ataque utilizados tanto por el “XLG Privacy Control Center”, el “Antivirus 2009” y ahora Spyware Protect 2009, lo más probable es que en los tres casos se trate del mismo grupo criminal manteniendo sus materiales al día bajo nombres distintos y acaudalando enormes fortunas al hacerlo.

Spyware Protect 2009 intenta entrar por vez primera a una máquina desprotegida a través de un troyano obtenido de varias maneras, por ejemplo al llevarse a cargo la descarga automática de codecs para ver alguna película proveniente de Internet (esto último es una mala costumbre del Windows Media Player que debería ser corregida o parchada). Una vez instalado en la máquina, el paquete infector inicial de Spyware Protect 2009 será ejecutado cada vez que se inicie Windows, y su presencia será obvia al aparecer en la pantalla una cantidad excesiva de ventanas emergentes publicitarias “pop-up” alertando al incauto de que su máquina está en peligro y que es indispensable que compre la versión completa de Spyware Protect 2009, sin que el incauto sepa que se trata de una trampa que sólo empeorará mil veces las cosas. A menos de que se haga un trabajo meticuloso, Spyware Protect 2009 puede ser difícil de eliminar manualmente porque tiene la capacidad de volver a surgir.

Aunque Spyware Protect 2009 no es considerado por los especialistas como un virus propiamente dicho, sino como una clase de invasores denominados spyware que son contraídos no a través del intercambio de archivos entre usuarios sino a través de Internet, los daños causados por una infección son tales que las diferencias entre ambos resultan de poca importancia para quienes no son especialistas en el tema.

Las primeras víctimas de un posible ataque son quienes no tienen instalado un buen programa antivirus en su computadora, aunque de cualquier manera no son las únicas, ya que si el programa antivirus no cuenta con un servicio de actualización puede resultar inútil para reconocer las nuevas variantes que se están generando día con día de Spyware Protect 2009. Y aún así, aunque se tenga instalado un programa antivirus actualizado, la actualización sólo será útil después de que la existencia del virus sea conocida a través de las malas experiencias de los primeros que resulten ser afectados, así que no existe una garantía al 100 por ciento de que uno no tendrá un problema de estos algún día. Todos los programas antivirus que hay en la actualidad deben su base de datos de virus conocidos a las primeras víctimas a través de las cuales se dió a conocer el virus, las cuales pueden resultar millares dada la cantidad de gente conectada a Internet en un momento dado y dada la velocidad con la cual se puede propagar la infección.

Cuando al estar navegando por la Web uno sin quererlo entra en contacto con un enlace desde donde sin su conocimiento pueda descargar el virus, el primer síntoma de que algo está entrando en la máquina y no es posible detener su ingreso es que no es posible parar el proceso de instalación vía Internet con las herramientas usuales del sistema operativo. En el caso de Windows XP, la primera acción tomada por el usuario que desea detener el procedimiento de instalación podría ser abrir el “Administrador de Tareas” de Windows (Windows Task Manager) oprimiendo al mismo tiempo la combinación de teclas Ctrl-Alt-Del para localizar el proceso que se está ejecutando y tratar de detener la ejecución del proceso. Pero al tratar de hacer esto, el Administrador de Tareas no responde, es obligado a esperar mientras se continúa ejecutando el código de instalación. En una conexión de baja velocidad, siempre es posible desconectar la conexión telefónica a Internet con lo cual se interrumpe el proceso de descarga del virus, y al no terminar de descargar por completo la infección en proceso queda detenida. El problema es que la mayoría de las conexiones han dejado de ser las conexiones lentas de antaño y son ahora conexiones de alta velocidad (en México el servicio de alta velocidad es a través de Prodigy Infinitum), de modo que cuando se trata de reaccionar desconectando la conexión telefónica es ya demasiado tarde porque la descarga puede que no se lleve ni siquiera un minuto.

Hay otros síntomas de que una infección de Spyware Protect 2009 o un virus similar a éste ha ocurrido en una máquina. Como ya se señaló anteriormente, el primer síntoma obvio de que una computadora ha sido infectada con Spyware Protect 2009 es la aparición de ventanitas pop-up promocionando la compra y subscripción al producto, y esto ocurre aunque la opción de bloqueo de tales ventanitas en el navegador que se está utilizando haya sido activada. Las ventanitas le advierten hipócritamente al usuario que su computadora está en riesgo y que es urgente que compre el programa Spyware Protect 2009 para eliminar la infección. Dos de tales ventanitas de advertencia que insistirán en estar apareciendo convirtiéndose en un recordatorio molesto y constante son las siguientes:








Pero todas estas advertencias son una burla cruel, ya que Spyware Protect 2009 es precisamente uno de los peores infectores de todos, y enviarle el dinero a traves de tarjeta de crédito al maleante cibernético que está del otro lado no ayudará en nada, sólo lo hará más rico y agravará la intensidad de los ataques. Si el programa realmente cumpliera con lo que ofrece al ofertar protección en contra de intrusos espías no-autorizados instalados dentro de la máquina, Spyware Protect 2009 empezaría con el desinstalación total de sí mismo, ya que es el principal infector de todos.

Además de las ventanitas arriba mostradas que estarán apareciendo sin parar por sí solas en forma sumamente molesta con muy poco lapso de tiempo entre ellas, también aparecerá una ventana invocando el navegador (explorador, browser) de default que tenga instalado el sistema (Internet Explorer, Mozilla Firefox, Opera, Chrome, etc.) en donde bajo el domicilio de acceso en Internet que el navegador nos dice que está siendo accesado:

____http://browser-security.microsoft.com
____________/block.php?r=17.2

se nos mostrará lo siguiente (o algo parecido):

___Internet Explorer Warning - visiting this web site may harm your computer!

___Most likely causes:

___The website contains exploits that can launch a malicious code on your computer

___Suspicious network activity detected

___There might be an active spyware running on your computer

___What you can try:

___Purchase Spyware Protect 2009 for secure Internet surfing (Recommended).

___Check your computer for viruses and malware.

___More information.

Aquellos cuyo navegador de uso primario no sea Internet Explorer sino otro navegador como Mozilla Firefox quedarán extrañados ante el hecho de que “Internet Explorer” supuestamente les esté dando una advertencia, cuando debería ser el navegador Mozilla Firefox (u otro, el que estén usando) el que debería de darla. Esto dá una pista segura de que el navegador de uso primario en la máquina ha sido secuestrado bajo la suposición de que el navegador de uso primario en la máquina es Internet Explorer. Con esta página Web el navegador Internet Explorer está dando una alerta indicando desde un sitio supuestamente perteneciente a Microsoft que visitar algún otro sitio no especificado podría causar daños a la computadora, señalando como causas posibles (most likely causes) que: (1) El sitio contenga estrategias maliciosas capaces de lanzar código dañino a la computadora, (2) Se ha detectado actividades sospechosas en la red, (3) Podría estar corriendo dentro de la computadora un virus spyware activo. Y hechas las advertencias, se le recomienda al usuario incauto tratar de (1) Comprar Spyware Protect 2009 para navegación segura en Internet, (2) Checar la computadora para la presencia de virus informáticos, (3) Obtener más información.

Primero que nada es importante aclarar una cosa:

El sufijo del domicilio Internet que aparece en la página Web arriba citada:

____browser-security.microsoft.com

es un domicilio falso. La empresa Microsoft no mantiene dentro de su listado de direcciones en sus servidores conectados a Internet ninguna dirección con tales características. Esta es una estrategia engañosa para hacerle creer a la víctima que está siendo conducida automáticamente por el sistema operativo Windows instalado en su máquina hacia un sitio de Microsoft que le quiere advertir acerca de un riesgo detectado en su computadora, cuando en realidad la víctima está siendo arrastrada con este domicilio falso hasta las mismas máquinas de las mafias criminales que están lucrando con Spyware Protect 2009. El falso domicilio, en vez de conducir a un servidor de Microsoft dedicado a mejorar la seguridad del navegador (browser) Internet Explorer, conduce directamente a una de las máquinas de Spyware Protect 2009 en donde alguien posiblemente esté vigilando todo lo que está haciendo la víctima en su computadora, y si el usuario ha caído en la trampa de acceder a este domicilio esto será tan sólo el primer paso en instalarle en su máquina sin pedirle autorización alguna todo tipo de archivos maliciosos modificándole las bibliotecas de los registros de la máquina. El nombre y el prestigio de Microsoft están siendo usurpados sin autorización alguna dada por la empresa Microsoft al negocio criminal Spyware Protect 2009 para utilizar la marca registrada Microsoft en su invasión informática.

Escogiendo la primera opción de la página Web maliciosa (Purchase Spyware Protect 2009 for secure Internet surfing (Recommended)) le presentará a la víctima una página atractiva como la siguiente:





Si la víctima cae en la segunda opción (Check your computer for viruses and malware) verá abrirse una “ventana de trabajo” como la siguiente de acuerdo con la cual en su compuadora bajo la opción del botón “Perform scan” se llevará a cabo una revisión de la computadora para detectar virus y troyanos invasores espías dentro de la máquina.





Al irse llevando a cabo la supuesta inspección de la máquina, el programa criminal Spyware Protect 2009 le dirá a la víctima que está encontrando amenazas como las siguientes:
LdPinch V
Advanced Stealth Email
VMalum AWS
CNNIC Update U
Bancos DMD
Win32.Grams.I
Zlob AN
SillyDI BCL
CPush
Win32/Wadnock
Best search
Win32/Nuquel.E
Edge Tech
Disable Key
EMogen.B
Moonlight.V
Autorun.AOL
Sinowal.VXR
Antivirus360
BankerFox.A
Pero todo esto es falso, muy posiblemente el usuario no tenga nada de esto en su máquina. Es simplemente una lista elaborada de antemano que invariablemente resulta ser la misma para todos los que le piden ese día a Spyware Protect 2009 llevar a cabo la revisión de sus máquinas. Si el usuario incauto logra ser asustado con todo esto y se dirige a la opción de compra de Spyware Protect 2009, verá que este programa tiene un costo de 50 dólares que tiene que ser solventado necesariamente con tarjeta de crédito llenando una orden de pago como la siguiente:





Y en caso de hacer el pago, la víctima no sólo les estará dando a los criminales parte de su dinero y el número de su tarjeta de crédito. Les estará dando también acceso a todas sus contraseñas en Internet (passwords) y a todo lo que está dentro de su máquina.

Otro síntoma claro de que algo sumamente maligno y extraño se ha apoderado de la máquina es la aparición en la bandeja (tray) de la barra de tareas de Windows (en el extremo inferior derecho de la pantalla) de un ícono pequeño representado como el escudo típico con las tres bandas usado por Spyware Protect 2009 para representarse a sí mismo, el cual no puede ser removido de la bandeja porque no ofrece opciones para ello.

Como ya se señaló también en la introducción a esta entrada, uno de los síntomas claros e inequívocos de que una computadora ha sido infectada con Spyware Protect 2009 es que si antes las conexiones a través de Internet se ejecutaban rápidamente de súbito ahora todo se empieza a llevar a cabo con una lentitud exasperante sin importar el navegador (también conocido como “explorador” o browser) que se esté utilizando, ya sea Internet Explorer, Mozilla Firefox o el Chrome de Google. La única conexión rápida permitida a Internet por el invasor es la que conecta a cualquiera de las páginas principales con que trabaja la empresa criminal Spyware Protect 2009; todo lo demás trabajará a una velocidad que parecerá cada vez más exasperantemente baja, lo cual dificultará intentar llevar a cabo la instalación o la actualización mediante Internet de un programa que se encargue de purgar el virus (esta es la principal motivación de los redactores del virus informático para bajar deliberadamente la velocidad de la conexión a Internet en todo lo demás que no tenga que ver directamente con los intrusos).

Dependiendo de la variante de Spyware Protect 2009 que haya entrado en la computadora, la infección puede (y tal vez lo hará) modificar el domicilio de Internet con el cual inicia el navegador del usuario sus operaciones (homepage) que para muchos usando computadoras no-infectadas puede ser Yahoo! o Google o cualquier otro domicilio con el que quiera empezar a navegar en Internet al abrir el navegador.

El troyano malicioso encargado de abrirle la puerta de la computadora a la empresa criminal Spyware Protect 2009 es conocido bajo distintos nombres según la empresa a la que le ha tocado manejarlo o estudiarlo. Algunos de sus muchos nombres son los siguientes:

McAfee: New Malware.bx
McAfee: W32.HLLP.Philis.dll
McAfee: Generic Downloader.g
McAfee: Generic.f
Trend Micro: TROJ_UPOLYX.BL
Trend Micro: TROJ_LOOKED.LU
Trend Micro: TROJ_TIBS.ZV
Kaspersky Lab: Backdoor.Win32
Symantec: Downloader
Microsoft: Trojan:Win32/Tibs.IT
Sophos: Troj/FakeVir-KR
Ikarus: Backdoor.Win32.Hupigon

Bajo cualquier nombre, sigue siendo la misma cosa. Y se debe tener en cuenta que se trata de un virus que está siendo evolucionado por sus creadores para hacerlo cada vez más difícil de desinstalar de una máquina; esta es la razón por la cual en la lista limitada de arriba aparece con distintos nombres.

Las nuevas generaciones de virus informáticos potentes como Spyware Protect 2009 están incorporando dentro de sus paquetes infectores a troyanos viejos que ya existían desde antes de la aparición de Spyware Protect 2009, y no es inusual ser infectado con alguna variante que incorpore a cinco, diez o inclusive veinte o más troyanos diferentes, de modo tal que aunque los archivos infectores principales puedan ser removidos manualmente siempre puede quedar algo remanente que active el troyano número 1, y los redactores del virus previendo que el usuario pueda remover manualmente el troyano número 1 tal vez habrán anticipado tal acción elaborando algo que permitirá entrar en acción el troyano número 2, y así sucesivamente, dificultando aunque no haciendo imposible la labor de limpiar a la computadora de una infección de esta naturaleza. El hacker criminal que ha hecho hábito suyo atacar las computadoras de otros a través de Internet intenta al construír su paquete malicioso anticipar todas las medidas correctivas que el usuario tratará de tomar por cuenta propia, y tratará de mantenerse un paso adelante de él aunque no tenga acceso remoto a la computadora infectada.

Puesto que Spyware Protect 2009 es esencialmente un fraude en el que se están moviendo grandes cantidades de dinero obtenidas de los usuarios que son estafados, es posible que países como Estados Unidos e Inglaterra a través de agencias investigadoras como el FBI y Scotland Yard estén tomando ya cartas en el asunto. Pero mientras hacen algo, hay que hacer algo con las infecciones que ya se están dando y para lo cual las agencias gubernamentales proporcionan muy poca ayuda.

A los usuarios con alguna experiencia previa en la desinstalación de programas tal vez se les ocurra llevar a cabo la remoción automática de Spyware Protect 2009 recurriendo al mismo sistema operativo Windows, empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva al “Panel de Control” (Control Panel) que a su vez nos lleva al ícono “Agregar o quitar programas” que a su vez nos prepara una lista de “Programas actualmente instalados” registrados por Windows XP y que pueden ser removidos. Si el afectado cayó en la trampa de enviar su dinero y registrarse ante la empresa fantasma Spyware Protect para instalar esta peste en su totalidad, posiblemente descubrirá que la línea Spyware Protect 2009 no aparece en la lista de “Programas actualmente instalados” y por lo tanto no puede ser removido con este recurso. En otras mutaciones del programa viral, aunque la línea Spyware Protect 2009 sí aparece en la lista de “Programas actualmente instalados” el afectado descubrirá que si trata de remover el programa la computadora se congelará impidiéndole la remoción o simplemente se negará a hacerlo sacándolo completamente fuera de la ventana de “Agregar o quitar programas” si trata de hacerlo. Hay mil maneras en la cual el invasor se puede proteger a sí mismo para evitar su remoción a través de este recurso de Windows. Tratar de eliminar Spyware Protect 2009 con “Agregar o quitar programas” puede terminar siendo una pérdida de tiempo.

Otra cosa que se les podría ocurrir a los usuarios con alguna experiencia previa en el restablecimiento del sistema operativo de la computadora con el fin de volver la computadora al modo de operación que tenía a una fecha previa a la fecha en que se llevó a cabo la infección tal vez sería intentar llevar a cabo la “Restauración del Sistema” (System Restore), la cual se lleva a cabo empezando con el botón “Inicio” (Start) de Windows en el extremo inferior izquierdo que nos lleva a la línea “Todos los programas” (All Programs) que a su vez nos lleva a la opción “Accesorios” (Accessories) que a su vez nos lleva a la opción “Herramientas del sistema” (System Tools) dentro de la cual encontramos “Restaurar sistema” (System Restore) que nos abre una ventana como la siguiente:





El uso de esta herramienta presupone que en el calendario mostrado hay un Punto de Retorno (Restore Point) al cual se puede regresar. Si no hay punto de retorno alguno en el calendario no se puede llevar a cabo un regreso de las condiciones de la máquina a una fecha previa excepto la misma fecha en la cual se instaló el sistema operativo Windows XP por primera vez en el disco duro de la máquina en cuyo caso es preferible reinstalar Windows XP de nuevo con los discos CD-ROM de instalación. Supuestamente, al llevar a cabo una restauración del sistema, Windows XP compara los archivos puestos después del punto de restauración con los archivos que había antes del punto de restauración (de los cuales Windows XP tiene una copia completa) y Windows se encarga de borrar los archivos que habían sido añadidos después del punto de restauración así reponer los archivos que fueron borrados (sin embargo, aunque todos los programas que hayan sido instalados despues de una fecha específica de un punto de restauración serán borrados y tendrán que ser reinstalados en caso de devolver a la máquina a la condición que tenía antes del punto de restauración, esto no será de ayuda alguna para reinstalar programas completos que hayan sido ya desinstalados de la máquina por el usuario tales como los programas comerciales Adobe Acrobat y Photoshop). Una cosa importante a tener en cuenta es que después de haberse llevado a cabo una restauración del sistema siempre es posible deshacer la restauración, los cambios hechos por la restauración del sistema son reversibles. Sin embargo, habrá que volver a instalar todos aquellos programas que habían sido instalados después del punto de restauración. Aunque esto (la restauración del sistema a un punto previo) era posible en las primeras versiones preliminares de Spyware Protect 2009, con las nuevas y mas potentes versiones de ataque de este virus maligno esto ya no es posible. Si el usuario infectado con este virus intenta llevar a cabo una restauración del sistema, descubrirá que al llegar al paso final oprimiendo el botón “Aceptar” el proceso de restauración quedará congelado sin ir a ninguna parte. Esto es el resultado directo de la acción del virus que está bloqueando los intentos del afectado por llevar a cabo una restauración del sistema que eliminaría los archivos infectados agregados al sistema por el virus. Una cosa que podría funcionar en este caso sería arrancar las operaciones de la máquina en “Modo Seguro” (Safe Mode) oprimiendo la tecla F8 al encender la máquina justo cuando se escucha el sonido “biip” que indica que Windows XP está a punto de ser cargado en la memoria RAM de la computadora. Pero las nuevas mutaciones del virus tal vez vuelvan imposible intentar llevar a cabo de manera automática con la ayuda de Windows XP una restauración del sistema aún iniciando en “Modo Seguro”, todo depende de la variante del virus que se haya instalado en la máquina; hay que estar preparados para todo. Con lo que hemos visto, debe ser obvio que el tratar de eliminar las mutaciones más recientes del virus Spyware Protect 2009 con el recurso “Restaurar sistema” de Windows XP también puede terminar siendo una pérdida de tiempo ya que el virus no lo permitirá. En relación al uso de la herramienta de restauración del sistema un documento que el usuario tal vez quiera leer es el siguiente:

__http://www.microsoft.com/windowsxp/using/helpandsupport
_ __/getstarted/ballew_03may19.mspx

Precisamente porque las versiones más actualizadas del virus Spyware Protect 2009 poseen ya poderosos mecanismos de defensa para impedir que pueda ser borrado fácilmente de una computadora aún con la ayuda de los recursos de Windows tales como “Restauración del Sistema” y con la ayuda de los más actualizados programas anti-virus que tenga instalada la computadora infectada se requiere toda una metodología de ataque contra el virus como la que estaremos desarrollando en este documento. Y esta es una metodología en la cual el usuario afectado lleva a cabo por cuenta propia o con la ayuda de alguien familiarizado en el sistema operativo Windows la remoción manual de la infección. Esta metodología se detalla en la entrada “La remoción manual del virus Spyware Protect” que forma parte de esta bitácora.

Como mínimo, Spyware Protect 2009 en su versión original más generalizada efectúa sobre la máquina que está infectando las siguientes acciones:

1) Instala con la ayuda de un troyano que le abre la puerta de entrada a la máquina el programa infector principal sysguard.exe o un equivalente del mismo.

2) Modifica la base de datos de los componentes add-ons del navegador (browser) nativo de Windows, el Internet Explorer, para estar invocando cada vez que sea encendida la computadora otro archivo invasor llamado iehelper.dll o un equivalente del mismo.

3) Modifica por lo menos una de las entradas del componente del sistema operativo Windows conocido como el Registro (Registry) para echar a andar el principal programa infector sysguard.exe o un equivalente del mismo cada vez que la máquina sea encendida.

4) Modifica un archivo poco conocido dentro de Windows llamado hosts añadiendo una entrada extra que simula ser un sitio de Microsoft cuando en realidad se trata de algo que provoca que la computadora infectada se esté tratando de conectar constantemente con los criminales que desde una computadora remota desean enterarse de lo que está haciendo cada una de sus víctimas alrededor del mundo. Esta es precisamente una de las modificaciones que disminuye considerablemente la velocidad de la conexión de la computadora a Internet.

Además de lo anterior y dependiendo de la variante del virus que se tenga, se puede crear dentro de la computadora infectada una copia idéntica del principal archivo invasor sysguard.exe asignándole un nuevo nombre y poniendo la copia en otra parte de la computadora para ser usada en caso de que la víctima pueda encontrar y borrar por sí misma el principal archivo infector sysguard.exe, con lo cual el virus puede reestablecerse a sí mismo una y otra vez en la computadora replicándose de la copia de emergencia que ha creado de sí mismo en otra parte dentro de la máquina y cuya existencia el usuario ignora. Al hacer esta réplica de sí mismo, el archivo infector está actuando igual que un verdadero virus biológico que es incapaz de reproducirse por sí mismo y que necesita infectar una célula y usurpar su maquinaria reproductora de ADN para poder producir copias de sí mismo, aunque para poder subsistir dentro de la computadora el infector no necesita hacer copias múltiples, le basta con hacer una sola copia escondiendo dicha copia bajo otro nombre y de preferencia guardándola en otra carpeta diferente. Esta acción de replicación puede ser suplementada con la instalación de otros archivos infectores de apoyo mutuo que se ayuden entre sí el uno al otro en forma coordinada para impedir que la víctima se pueda deshacer fácilmente de la infección, de modo tal que si la víctima borra cualquiera de los archivos o inclusive dos o tres de ellos, los demás se dan cuenta de lo que ha ocurrido y entran en acción para restaurar los archivos borrados. Dependiendo de lo que haya borrado el usuario, tal vez ni siquiera se requiera tener la máquina conectada a Internet para que la infección se puede restaurar a sí misma con el solo hecho de encender la computadora, pero si la remoción manual del virus llevada a cabo por el usuario es tal que el virus requiere forzosamente recuperar algunos archivos a través de Internet, tal cosa no la podrá lograr mientras la máquina esté desconectada de la línea telefónica que la conecta a Internet. La desconexión de la máquina de la toma telefónica es el primer paso prioritario requerido para impedir que la infección informática se pueda afianzar en la máquina al darse cuenta los invasores desde otro lado del mundo lo que se les está tratando de hacer.

¿Qué es lo que mete en su computadora una persona asustada que es convencida por los hipócritas mensajes de advertencia que le recuerdan constantemente con ventanas emergentes que se ha detectado que su máquina está infectada y que es urgente que compre el paquete Spyware Protect 2009, enviándoles el pago de 50 dólares cargado a su tarjeta de crédito?

Al cometer el grave error de sucumbir a los mensajes de advertencia de Spyware Protect 2009 enviados por el intruso a través de la injerencia no autorizada en la máquina del infector maligno sysguard.exe con el envío del pago pedido para completar el procedimiento de instalación, se crea dentro de la maquina una carpeta que puede estar titulada como Spyware Protect 2009 puesta dentro de la carpeta “Archivos de programa” (Program Files) situada dentro del disco duro de la máquina representado como “C:”, todo lo cual se representa a la vieja usanza del sistema operativo de línea de comandos DOS con una ruta como la siguiente:

__C:\Archivos de programa\Spyware Protect 2009

dentro de la cual se puede depositar material pernicioso como el siguiente:

C:\Archivos de programa\Spyware Protect 2009\gfx.bin
C:\Archivos de programa\Spyware Protect 2009\lang
C:\Archivos de programa\Spyware Protect 2009\lang\english.lng
C:\Archivos de programa\Spyware Protect 2009\options.ini
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009.exe.MANIFEST
C:\Archivos de programa\Spyware Protect 2009
____\SpywareProtect2009_start_setup.exe
C:\Archivos de programa\Spyware Protect 2009\tp_starter.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.exe
C:\Archivos de programa\Spyware Protect 2009\uninstall.log
C:\Archivos de programa\Spyware Protect 2009\vbase.ini

El archivo infector inicial sysguard.exe en realidad solo es un vehículo para darle entrada a otro programa todavía peor, el programa

__SpywareProtect2009.exe

junto con su programa acompañante, un archivo tipo MANIFEST (un archivo MANIFEST es un archivo contenido dentro de otro archivo tipo JAR para ser utilizado en el entorno de una plataforma Java con la cual operan varios navegadores en Internet):

__SpywareProtect2009.exe.MANIFEST

todo lo cual se ejecutará cada vez que se encienda la máquina.

Además de lo anterior, se depositarán en la carpeta WINDOWS algunos (o todos) de los siguientes archivos además de otros nuevos que se puedan depositar (en nuevas versiones del paquete de infección los nombres están siendo cambiados constantemente para que no le sea fácil a la víctima identificarlos a menos que verifique si la fecha en la cual fueron metidos los archivos infectores coincide con la fecha y la hora en la cual se llevó a cabo el pago y la instalación del paquete completo de Spyware Protect 2009:

C:\WINDOWS\system32\vbzlib2.dll
C:\WINDOWS\aazalirt.exe
C:\WINDOWS\dkekkrkska.exe
C:\WINDOWS\dkewiizkjdks.exe
C:\WINDOWS\iddqdops.exe
C:\WINDOWS\ienotas.exe
C:\WINDOWS\iqmcnoeqz.exe
C:\WINDOWS\irprokwks.exe
C:\WINDOWS\jikglond.exe
C:\WINDOWS\jiklagka.exe
C:\WINDOWS\jrjakdsd.exe
C:\WINDOWS\jungertab.exe
C:\WINDOWS\kitiiwhaas.exe
C:\WINDOWS\kkwknrbsggeg.exe
C:\WINDOWS\klopnidret.exe
C:\WINDOWS\krkdkdkee.exe
C:\WINDOWS\krkmahejdk.exe
C:\WINDOWS\krtawefg.exe
C:\WINDOWS\krujmmwlrra.exe
C:\WINDOWS\ktknamwerr.exe
C:\WINDOWS\kuruhccdsdd.exe
C:\WINDOWS\ooorjaas.exe
C:\WINDOWS\oranerkka.exe
C:\WINDOWS\oropbbsee.exe
C:\WINDOWS\otnnbektre.exe
C:\WINDOWS\otowjdseww.exe
C:\WINDOWS\otpeppggq.exe
C:\WINDOWS\rkaskssd.exe
C:\WINDOWS\ronitfst.exe
C:\WINDOWS\seeukluba.exe
C:\WINDOWS\skaaanret.exe
C:\WINDOWS\sysguardn.exe
C:\WINDOWS\tobmygers.exe
C:\WINDOWS\tobykke.exe
C:\WINDOWS\zibaglertz.exe

Para usurpar los recursos del sistema, las nuevas familias de virus propagables via Internet no solo utilizan varios programas ejecutables instalados por el intruso dentro de la máquina el día que ocurrió la infección trabajando ya sea independientemente o en forma coordinada dentro de la máquina, sino también recurren a las mismas herramientas proporcionadas por Microsoft al usuario para darle (supuestamente) mejores opciones para navegar por Internet con su navegador Internet Explorer integrado al sistema operativo Windows. Una de tales opciones son los “Browser Helper Objects” (BHO), los cuales son librerias de enlace dinámico (dynamic link libraries ó dll), los cuales son agregados como complementos conocidos como “add-ons” y los cuales se cargan automáticamente cada vez que la máquina es encendida. Al intruso le es posible entrar en acción después de haber instalado en la máquina infiltrada sus propios “add-ons”. El problema con los complementos “add-ons” no es con aquellos instalados por los programas legítimamente instalados con autorización previa dada por el usuario y cuyo funcionamiento es transparente en todo momento, sino con los complementos “add-ons” instalados y utilizados por los programas maliciosos que utilizan esta vulnerabilidad del sistema para instalarse en la máquina desde un principio sin el conocimiento ni la autorización del usuario para de allí en delante causar todo tipo de estragos. Estos aditamentos maliciosos tiene que ser escritos por un programados experto utilizando un lenguaje de bajo nivel como C++, tras lo cual deben ser compilados para ser convertidos en un “Browser Helper Object”. Podemos ver la lista completa de los “add-ons” que la máquina tiene instalada con el siguiente procedimiento:

1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.

2) En la línea del menú del Internet Explorer, nos vamos a la opción “Tools” y de allí seleccionamos la sub-opción “Manage Add-ons”:





Esto nos dá acceso a la herramienta “Add-ons Manager” de Internet Explorer, titulada “Manage Add-ons”.

3) En la cajita “Show” seleccionamos el conjunto de complementos “add-ons” que queremos ver:





Desde aquí mismo podemos desactivar cualquier complemento “add-on” que nos parezca sospechoso. Naturalmente, esto no precluye la posibilidad de que al volver a encenderse la máquina los programas maliciosos instalados en la misma puedan volver a activar nuevamente sus entradas puestas en el “Add-ons Manager” al darse cuenta de que han sido desactivas por el usuario. Esta es una de las razones por las cuales la primera prioridad en combatir una infección informática consiste en la detección y eliminación de todos los programas ejecutables puestos por el invasor dentro de la máquina.

Los ejemplos mostrados para la desactivación de complementos “add-ons” son válidos para una de las más recientes versiones de Internet Explorer en inglés. En caso de estar utilizando una computadora con su sistema operativo Windows trabajando en español, el procedimiento sería el siguiente:

1) Echamos a andar el navegador (explorador) nativo de Windows, el Internet Explorer.

2) En la línea del menú del Internet Explorer, nos vamos a la opción “Herramientas” y de allí seleccionamos la sub-opción “Administrar complementos”.

3) Una vez adentro de la ventana utilizada para administrar complementos, seleccionamos la opción “Habilitar o deshabilitar complementos” con lo que se nos muestra lo siguiente:





Aunque en la gran mayoría de los casos las infecciones virales informáticas obtenidas por la vía de Internet entran a través de un troyano, también puede ocurrir con menor frecuencia que la víctima contraiga la infección informática visitando a través de algún enlace intermedio cualquiera de los domicilios utilizados por la empresa criminal para promocionar y vender su producto. Algunos de estos domicilios son (constantemente son alterados, borrados y vueltos a establecer con el fin de confundir a las autoridades):

__www.swp2009.com

__www.spyprotect2009.com

__www.sp-protect2009.com

__sp-protect2009.com

__sys-protection.com

__sysguard2009.com

__os-protection.com

__spy-protect-2009.com

__spywprotect.com

__adwareguard.net

__antivirus-win.com

__spywrprotect-2009.com

__sysprotect.net

__spwprotect2009.com

__Sp-protect2009.com

__Spyprotect2009.com

__Swp2009.com

Tras la reparación de los daños y la reinstalación cada uno de los navegadores que se vayan a utilizar, tal vez algunos usuarios acostumbrados a utilizar el navegador Internet Explorer nativo de Windows intenten llevar a cabo un bloqueo de los sitios anteriores, siendo esta una de las opciones que ofrece el Internet Explorer. Sin embargo, tal vez ésto no sea práctico porque la lista de sitios que constantemente están siendo inventados por la banda criminal detrás de Spyware Protect 2009 va creciendo día con día, constantemente se inventan nuevos nombres y se desactivan unos que ya habían sido creados sólo para ser reactivados nuevamente unos cuantos días e inclusive horas después. Por otro lado, navegadores como Mozilla Firefox no traen instalada consigo esta capacidad para poder bloquear sitios de los cuales conocemos su dirección, se le tiene que agregar al navegador a través de un add-on. Mozilla Firefox permite la instalación de add-ons a través de la línea del menú en la opción “Herramientas” (Tools) en donde podemos encontrar algunos add-ons recomendados para otros propósitos. Podemos encontrar información adicional sobre esto último en el siguiente enlace:

___http://kb.mozillazine.org/Parental_controls

Sin embargo, considerando las malas experiencias que la instalación de add-ons está ocasionando a los usuarios del navegador Internet Explorer, no es recomendable agregar absolutamente nada a un navegador de alta seguridad como el Mozilla Firefox mucho más de lo que ya traía consigo al momento de ser instalado (o reinstalado). No a menos de que tengamos la certeza absoluta de que el add-on proviene de una compañía seria y responsable y de que no lo estamos obteniendo de un sitio impostor.

Complicando aún más las cosas para el usuario que ha sufrido el ataque de un virus informático está la deshonestidad o la falta de apoyo con la cual operan los fabricantes de paquetes antivirales, incluídos algunos de los más conocidos, empresas que se supone serias y responsables de las cuales omitiré sus nombres porque dichas empresas son de sobra conocidas. En casi todos los paquetes vendidos por tales empresas el usuario en caso de ser víctima de un ataque pronto descubre que está más solo y desprotegido de lo que se imagina, aunque haya comprado un paquete legal de protección antivirus pagando lo que se le pide por el costo de la licencia anual. Si el afectado cae víctima de un ataque informático, al tratar de procurar ayuda de cualquiera de dichas empresas descubrirá que tal ayuda tiene un costo monetario extra que no estaba incluído en la licencia, le dirán lo mucho que le conviene contratar algún servicio de soporte técnico como “Platinum Plus” o algo similar pagando algo así como 80 dólares la hora, de modo tal que si la infección es severa y le lleva unas diez horas el liberar su máquina con esta ayuda especializada el costo de 800 dólares posiblemente superará lo que pagó por su máquina, y estas empresas deliberadamente omiten incluír en sus bases de datos procedimientos de remoción manual de infecciones como los que se dan en este trabajo precisamente para forzar a sus clientes a contratar esos servicios de costo extra, o bien dejarlo solo a la deriva. Y a cambio de la instalación de un paquete antivirus legal tras el pago de la licencia anual, el usuario seguramente obtendrá al prescribir el término de su licencia una aparición constante y repetitiva de mensajes recordándole que la “protección” dada por su paquete ha prescrito y que la tiene que renovar, mensajes que para su aparición cronometrada le roban a la máquina velocidad al estarle robando muchos ciclos de máquina consumidos en el conteo de reloj. Y aún hay otras empresas “serias” todavía más deshonestas que al detener una infección en lugar de remover al archivo infector y borrarlo lo “cuarentenan” (File has been quarantined), de modo tal que si el usuario decide sacar fuera de su computadora al paquete antivirus entonces en represalia por romper las cadenas lo que estaba en cuarentena ya no estará en cuarentena y será liberado para que ocasione destrucción, que al fin y al cabo los fabricantes de estos programas antivirales siempre pueden alegar que fue un error del usuario y no de ellos el haber tratado de sacar el programa antivirus de la máquina. Si para algo han servido las infecciones virales informáticas como Spyware Protect 2009, además de exponer las numerosas deficiencias de las que adolecen los sistemas operativos Windows XP y Windows Vista, es para exponer a la luz del día la deshonestidad abierta o encubierta de todos los fabricantes de paquetes antivirales. Es precisamente por cosas como éstas que muchos usuarios que han pagado por licencias de “protección” antiviral terminan en los foros de chat de Internet pidiendo ayuda para sus problemas, porque no reciben apoyo y soporte libre de costo de la empresa que les vendió el programa antivirus. ¡Y todavía así es mucho lo que se quejan estas empresas al hablar acerca de la deshonestidad involucrada en la piratería informática que las priva de ganancias cuando ellas mismas actúan de manera tan deshonesta!

En caso de haber purgado manualmente una infección informática como la causada por Spyware Protect 2009 con los procedimientos que son detallados en las demás entradas de esta bitácora, y en caso de persistir los problemas, podemos suponer que como consecuencia de la infección original se han infectado archivos propios del mismo sistema operativo Windows XP, archivos que no pueden ni deben ser borrados por el usuario puesto que son archivos que Windows XP necesita para poder funcionar. En tal caso, no queda más remedio que volver a instalar en la máquina el sistema operativo Windows XP, para lo cual apagamos la computadora y la volvemos a encender en Modo Seguro (Safe Mode) oprimiendo la tecla F8, echando a andar la instalación del Windows XP con la ayuda del CD-ROM de instalación que venía con la máquina al momento de ser vendida (algunas máquinas nuevas no incluyen el disco CD-ROM de instalación de Windows XP pero tienen la opción de crear tal disco por una sola y única ocasión en una copia para el Windows XP instalado en la máquina). Espero, desde luego, que al comprar su máquina los afectados hayan tenido la precaución de conservar esos discos originales de instalación de Windows XP o de que hayan hecho sus discos de reserva, porque si no estarán en serios problemas tarde o temprano.

Podemos obtener información detallada en la Wikipedia sobre infecciones virales informáticas malware como las ocasionadas por Spyware Protect 2009 en el siguiente enlace:

___http://en.wikipedia.org/wiki/Malware

Un sitio que vale la pena visitar cuando se tienen problemas con Spyware Protect 2009 es el siguiente sitio de la empresa ThreatExpert que contiene información técnica sobre una de las más propagadas variantes del virus, aquella que fue identificada el 24 de febrero de 2009.

___http://www.threatexpert.com
______/report.aspx?md5=f42ecaab6442d21e4beba274875d882b

Podemos obtener mayor información acerca de los aditamentos complemento add-ons del Internet Explorer conocidos como “Browser Helper Objects” en la siguiente dirección de Wikipedia:

___http://en.wikipedia.org/wiki/Browser_Helper_Object

Hemos visto lo que es Spyware Protect 2009. En las entradas restantes de este documento veremos cómo podemos liberar a una máquina que haya sido infectada por este peligroso y destructivo parásito.