sábado, 10 de abril de 2010

4: Las herramientas inútiles

A estas alturas, viendo lo complicado que resulta todo esto, mis lectores tal vez se estarán preguntando por qué no es mejor evitar todo el proceso de remoción manual de Spyware Protect 2009 dejándole la pesada tarea de lo que estamos haciendo a un programa anti-spyware detector y eliminador de virus tipo spyware como Spyware Doctor. El problema en tratar de diseñar un super-programa que pueda borrar de cualquier computadora cualquier variante existente de Spyware Protect 2009 que la haya infectado es que cada día los creadores del virus y sus imitadores que no faltan están escribiendo nuevas versiones y nuevas variantes del mismo volviéndolo más potente y cambiándole los nombres a varios de los archivos. En pocas palabras, cada día hay una o varias mutaciones de Spyware Protect 2009 que lo vuelven más agresivo con mecanismos cada vez más refinados para garantizarle su supervivencia, al igual que como ocurre con las bacterias resistentes a los antibióticos que han podido florecer gracias al abuso de los antibióticos que por el proceso de selección natural Darwiniana hacen que las bacterias más resistentes sean las que sobrevivan y se multipliquen al morir las menos adaptadas genéticamente para la supervivencia. Aunque un super-programa pueda eliminar completamente de una computadora todas las variantes de Spyware Protect 2009 que se conozcan hasta el 15 de marzo de 2009, no puede eliminar las nuevas variantes que hayan sido elaboradas al 16 de marzo de 2009 ni puede adivinar qué nuevos nombres se le puedan haber dado a los archivos infectores. Es algo similar al terrorista que diseña bombas, el cual conforme va adquiriendo experiencia va agregando nuevas trampas y trucos para hacerle más difícil la labor a los expertos encargados de desactivar las bombas (se dice que el único verdaderamente experto en el funcionamiento de una bomba es el tipo que diseñó la bomba, todos los demás especialistas militares encargados de desactivarla siempre están corriendo un riesgo y se están jugando la vida al tratar de desactivarla). Esta es la razón del por qué muchos que caigan en la desesperación, además de que traten de recurrir a programas de ayuda automática como la versión pagada más actualizada de Spyware Doctor , deben hacer lo posible por tratar de llevar a cabo el procedimiento de eliminación manual de Spyware Protect 2009 (o algún otro virus similar) como el que se ha estado detallando aquí. La seguridad total de que se ha hecho todo lo posible por eliminar el código malicioso al cien por ciento es mil veces mejor que la duda de que haya quedado algo por allí y de que alguien nos esté espiando desde una computadora remota llevando el registro de cada tecla que hemos oprimido con lo cual nos puede robar nuestras cuentas de correos y escamotear nuestras claves personalizadas de acceso (passwords).

Una vez que se ha desconectado la línea o el adaptador inalámbrico que conecta a la computadora con la conexión telefónica a Internet y que se ha detenido la ejecución de las aplicaciones y procesos relacionados con la infección así como haberse llevado a cabo la eliminación de programas de infección como sysguard.exe, y habiendo borrado los navegadores y los Messengers apagando tras todo esto la computadora, el siguiente lógico paso consiste en irse a otra computadora que no esté infectada para procurar de un sitio con excelente reputación como download.com las versiones más recientes y actualizadas de los navegadores que se estaban utilizando (Mozilla Firefox, Chrome, etc.) así como las versiones más recientes de los Messenger que se estaban utilizando (Windows Messenger, Yahoo Messenger, etc.) Pero tal vez estos programas no son lo único que los usuarios infectados pensarán en bajar de dicho sitio. Tal vez intentarán bajar también la actualización más reciente de Spyware Doctor (Spyware Doctor 6.0 al terminar febrero de 2009) elaborado por la misma empresa PC Tools que en los tiempos del viejo sistema operativo MS-DOS elaboraba un paquete de utilerías del mismo nombre. La versión gratuita de prueba más reciente de Spyware Doctor al momento de elaborar este documento era la versión 6.0.1.440 que tiene un tamaño de 17.3 Mb. Sin embargo, antes de tratar de bajar Spyware Doctor, es necesario que los usuarios afectados por Spyware Protect 2009 conozcan algunas cosillas de las que no habla la propaganda.

El problema principal en tratar de utilizar a Spyware Doctor para llevar a cabo la remoción de Spyware Protect 2009 una vez que el virus se ha instalado en una máquina es que aún si Spyware Doctor se descarga en otra máquina no-infectada en su versión introductoria (la versión 6.0.1.440 con un tamaño de 17.3 Mb al terminar febrero de 2009), la instalación completa de Spyware Doctor se tiene que llevar a cabo forzosamente en la misma máquina en donde terminará siendo utilizado y dicha instalación requiere de una conexión a Internet útil para terminar de descargar un paquete que terminará teniendo un tamaño no de los 17.3 Mb originales sino de 75 Mb. Claramente, aún en una computadora libre por completo de infecciones, se requiere una conexión de alta velocidad para poder bajar el resto de Spyware Doctor que se requiere para llevar a cabo la instalación completa del programa, ya que con una conexión con un modem de baja velocidad la descarga completa se puede llevar todo el día o inclusive varios días, y ello suponiendo que no habrá cortos ni interrupciones en el suministro de la energía eléctrica durante el proceso de descarga de lo que falta para completar el paquete del programa. Pero en una computadora que ya está infectada con Spyware Protect 2009 la conexión a Internet se vuelve extremadamente lenta, de modo tal que la descarga de un paquete tan pesado se podría llevar varios meses, lo cual es impráctico, y ello si lo permite el virus Spyware Protect 2009 en la mutación del mismo que se haya instalado en la computadora. Para una computadora infectada, lo ideal sería que la empresa PC Tools creadora de Spyware Doctor proporcionara algún paquete preliminar para ayudarle a los usuarios liberarse o limitar primero las actividades de un virus infector con el objetivo de que con la conexión a Internet restablecida a su máxima velocidad se pueda llevar a cabo la descarga completa de Spyware Doctor, pero los creadores de Spyware Doctor no han querido hacer esto. Para que Spyware Doctor pueda ser instalado en una máquina se requiere que el usuario primero haya liberado por cuenta propia su máquina del virus, en cuyo caso ya no necesita de la ayuda de Spyware Doctor para nada. Así pues, el programa Spyware Doctor de la empresa PC Tools es totalmente inútil para ayudarle a alguien que ya tenga su máquina infectada con un virus como Spyware Protect 2009. Pero lo peor del caso es que la versión de paga de Spyware Doctor requiere que el pago (de 30 dólares) sea hecho por tarjeta de crédito desde la máquina que ha sido infectada para poder completar el proceso de instalación de Spyware Doctor, una transacción que de seguro está siendo espiada y con lo cual el intruso obtiene también los datos que necesita de su víctima para vaciarle sus cuentas bancarias, así que si la versión gratuita de Spyware Doctor es de por sí una mala proposición, la versión de paga es una proposición mil veces peor aún porque el usuario queda expuesto a un daño económico en su cuenta bancaria que se suma al daño que ya se le ha causado a su máquina.

Ahora trataremos acerca de otra herramienta gratuita llamada SmitfraudFix. En este programa en su versión original (supuestamente creada en Francia) cuando se echa a andar el programa ejecutable de instalación se crea una carpeta conteniendo 26 archivos llamada SmitfraudFix. Para poder trabajar, esta herramienta recurre a un archivo ejecutable puesto dentro del directorio de WINDOWS titulado cmd.exe cuya ruta es la siguiente:

__C:\WINDOWS\system32\cmd.exe

La ventana con la cual abre este programa es una interfaz gráfica muy primitiva que recuerda los viejos sistemas operativos DOS de las pantallas monocromáticas. Sin embargo, no es una pantalla DOS propiamente dicho porque no hay en la misma una línea en donde el usuario pueda escribir algo propio a lo que es un comando DOS, simplemente se le dan opciones de lo que se quiere que haga. Las principales opciones que se dán son:

__1 - Search
__2 - Clean
__3 - Delete
__4 - Check for updates
__Q - Quit

La primera opción activada con la opresión de la tecla numérica “1” supuestamente echa a andar un motor de búsqueda para tratar de encontar archivos que puedan ser cuestionables, y la segunda opción es supuestamente una operación de limpieza con la que supuestamente se van a borrar los archivos considerados como cuestionables. Sin embargo, al tratar de utilizar la segunda opción, el usuario se puede llevar una muy desagradable sorpresa al ver que toda su pantalla se obscurece y no se ve absolutamente nada, ni siquiera la barra inferior propia de Windows XP. Por otro lado, no sabe qué archivos le pueda estar borrando dicho programa, posiblemente archivos importantes para el funcionamiento de Windows XP, lo cual pondrá a pensar al usuario sobre la confiabilidad del sitio de donde descargó la herramienta SmitfraudFix, solo para descubrir que no existe un sitio permanente en donde alguien tome la responsabilidad por la distribución y operación de dicha utilería, con lo cual esto se presta a que programadores maliciosos escriban sus propias versionas de SmitfraudFix con intenciones tan malas como Spyware Protect 2009, con lo cual el remedio puede resultar peor que la enfermedad. Se recomienda fuertemente permanecer alejado también de esta herramienta gratuita cuyo empleo puede terminar resultando muy costoso a largo plazo.

Existen otros programas como “Spyware Detective” los cuales son muy poco confiables. Si un programa puesto a la venta por una empresa tan conocida como PCTools presenta todas las objecciones que ya he señalado anteriormente, con mayor razón un programa grautito de cuyo creador no se sabe absolutamente nada.

Además de los programas anti-spyware ya mencionados, algunos ofertados como muestras gratuitas con capacidades sumamente limitadas los cuales a la hora de la verdad no resultarán de mucha ayuda, tenemos que contender con el hecho de que otros programas vendidos al público por empresas que se supone bastante serias y respetables por la fama de su marca tampoco nos serán de mucha ayuda. Un caso que podemos señalar es el de la empresa Symantec que vende su programa Norton Antivirus con una licencia de uso que tiene que ser renovada anualmente. Mientras las cosas estén trabajando bien, mientras no haya problemas, el usuario estará muy contento y satisfecho con el Norton Antivirus que tenga instalado en su computadora. Pero si los redactores de programas maliciosos como Spyware Protect 2009 elaboran un troyano novedoso capaz de traspasar las defensas del Norton Antivirus porque precisamente por lo nuevo del troyano no se le puede detectar aún, los usuarios a quienes les logre entrar este troyano en sus máquinas les esperan varias sorpresas desagradables. La primera es que la empresa Symantec no cuenta con un domicilio de correo electrónico claramente visible al cual sus clientes le puedan pedir ayuda urgente mediante correo electrónico, si lo tiene está bien escondido. Como tampoco tiene un número telefónico claramente visible al cual sus clientes registrados le puedan pedir la ayuda gratuita a la que tienen derecho cuando están en problemas. No es necesario que se me tome la palabra sobre todo esto, mis lectores lo pueden comprobar por sí mismos visitando el sitio de Symantec:

______http://www.symantec.com

Para dialogar con sus clientes “en vivo y en directo”, Symantec cuenta con una ventana de chat en la cual a cada cliente que va llegando se le va asignando un número de prioridad, y el cliente tiene que esperar su turno para ser atendido por el técnico que le toque, lo cual puede llevar de varios minutos a varias horas, mientras se atiende a los que llegaron antes que él. Pero esto no es lo peor del caso. Si la computadora del usuario fue atacada por un programa malicioso como Spyware Protect 2009, lo más probable es que para evitar la entrada de más material dañino a su computadora el usuario trate de comunicarse con Symantec a través de otra computadora que no esté infectada. De cualquier manera, con un programa malicioso instalado firmemente en la computadora, una de las cosas que buscará dicho programa será dificultarle enormemente a la víctima mediante varios estratagemas el tratar de comunicarse a través de la máquina infectada con su proveedor de servicios antivirus , consistiendo uno de tales estratagemas en reducir considerablemente la velocidad de conexión a Internet hasta inutilizar dicha conexión casi por completo. Pero si el afectado trata de obtener ayuda desde otra máquina que no esté infectada, se sorprenderá al enterarse de que el técnico Symantec que está del otro lado de la ventana de chat se rehusará a darle ayuda alguna si la ventana de chat no es abierta precisamente en la máquina infectada conectada a Internet. En efecto, es una forma muy poco diplomática de Norton de dejar colgados a sus clientes en problemas negándoles la ayuda que supuestamente les debería de dar a cambio del pago de renovación por la licencia anual. Es algo así como una compañía de seguros que se rehusa a cumplir con la obligación que le corresponde a cualquiera de sus asegurados cuando se les ha quemado la casa que tenían asegurada o se les ha destruído el automóvil que también tenían asegurado, sin recibir un solo centavo de la cobertura pese a haber sido clientes cumplidos en todos sus pagos.

Lo anterior no es lo único que puede llevar a clientes de la empresa Symantec a desconfiar y sospechar de la efectividad de la protección ofrecida por sus productos en contra de invasores informáticos. Cualquiera que compre en estos momentos en una tienda una caja nueva del “Norton Antivirus” o del “Norton Confidential” puede comprobar por si mismo que ni en la caja ni en los manuales aparece domicilio de correo electrónico alguno en donde alguien desde cualquier parte del mundo pueda alertar a dicha empresa sobre la aparición de una nueva amenaza sucesora de Spyware Protect 2009. La lógica indicaría que una empresa dedicada a ofrecer precisamente este tipo de protección estaría muy interesada en recibir informes actualizados de último momento sobre lo que se está detectando en alguna parte del mundo, máxime cuando tal información le va a llegar gratis. Pero si ni siquiera ha tenido la precaución de tomar previsiones sobre esto, queda la sospecha de qué tan efectiva pueda ser su protección.

Con experiencias como las que se han descrito, el usuario del programa antivirus Norton tal vez trate de llevar a cabo la desinstalación del Norton Antivirus de su máquina infectada con el fin de instalar un programa antivirus de otra compañía al haberle perdido la confianza a Symantec. Pero no tardará en descubrir que inclusive esto no es nada fácil. Lo primero que tratará de hacer será recurrir con la computadora infectada trabajando en Modo seguro (Safe mode) al Panel de Control yéndose al ícono “Agregar o quitar programas” para desde allí pedirle a Windows la desinstalación del programa Norton Antivirus. Pero al hacer tal cosa, aparecerá un mensaje puesto no por Windows sino por Symantec advirtiéndole al usuario que la desinstalación del programa Norton Antivirus no se puede llevar a cabo en Modo seguro, se tiene que llevar a cabo con la computadora encendida y trabajando en su modo normal, precisamente el modo en el cual todos los programas auxiliares metidos por el intruso infector pueden usurpar los recursos del sistema operativo Windows para continuar haciendo su daño.

Ante esta problemática, tal vez el afectado quiera instalar directamente en su máquina infectada otro programa antivirus como McAfee Antivirus encima del Norton Antivirus que ya tiene instalado, pero si trata de hacer esto recibirá un mensaje del McAfee Antivirus advirtiéndole que para evitar conflictos se tiene que desinstalar primero el programa Norton Antivirus antes de que pueda instalar el McAfee antivirus, con lo cual el proceso de instalación del McAfee es terminado sin llegar a su conclusión. Sin otras alternativas a la mano, el usuario posiblemente optará por correr el riesgo de encender su computadora en Modo normal, exponiéndose a mayores daños que le puedan ser causados por el parásito invasor, para poder tratar de llevar a cabo la desinstalación del programa Norton Antivirus que es imposible de llevar a cabo en Modo seguro. Pero una vez que inicia su trabajo de desinstalación el Norton Antivirus, el usuario se expone a que después de un supuesto y muy tardado análisis (se puede llevar hasta un cuarto de hora en una máquina con 512 Mb de RAM y un procesador de 1.5 GHz de velocidad) llevado a cabo por el mismo Norton Antivirus previo a la desinstalación del mismo que puede incluír la aparición de una ventanita titulada “Error” como la siguiente:





el proceso de desinstalación quede trunco alegándose que hay un problema adicional que tiene que ser resuelto, tras lo cual el proceso de desinstalación del Norton Antivirus es interrumpido con un mensaje como el siguiente titulado “Setup Error”:





En esta última ventana se le dice al usuario que ocurrió algún error durante el proceso, diciéndole que será redireccionado a un sitio Web de apoyo de Symantec (Symantec Support Website), y diciéndole además que se ha generado un reporte listo para ser enviado a Symantec. Jamás se le informa al usuario cuáles fueron los datos que se le tomaron de su máquina para ser enviados a Symantec, sólo se le asegura que la información extraída será manejada en forma confidencial y anónima. Pero independientemente de que desde la máquina se autorice o no se autorice el envío del reporte a Symantec, el usuario pronto descubre que no es redireccionado hacia un técnico Symantec “en vivo” que le pueda ayudar con su problema o hacia algún sitio en donde se pueda comunicar directamente por correo electrónico con la empresa para poder recibir ayuda; simplemente es redireccionado a cualquiera de los mismos sitios de la empresa que ya están disponibles al público en Internet, tales como sitios para pagar renovaciones de licencias de Symantec o sitios para buscar por uno mismo si hay algo en la base de datos que le pueda ayudar con su problema. En pocas palabras, el usuario no sólo descubre que está totalmente solo con su problema sino que ni siquiera se puede deshacer del programa Symantec Antivirus. Y de nada le servirá al usuario enviar todas las carpetas que contengan materiales de Symantec-Norton a la papelera de reciclaje; mientras la entrada Norton Antivirus siga apareciendo listada en la lista Windows de programas instalados en la máquina el programa McAfee no podrá ser instalado. Esto, desde luego es algo que no debería de suceder bajo ningún motivo o circunstancia. Todo programa antivirus que es instalado automáticamente en una computadora a través de un disco de instalación CD crea archivos y carpetas que también deben poder ser borrados por el mismo programa que llevó a cabo la instalación. También se crean durante el proceso de instalación del programa antivirus modificaciones en el Registro de Windows que pueden ser revertidas una por una hasta dejar el Registro del sistema operativo en un estado similar al que existía antes de la infección con Spyware Protect 2009. El aferrarse a la máquina de un usuario dificultándole enormemente la desinstalación del programa antivirus puede ser visto con recelo y sospechas por usuarios que ya han pasado por estas experiencias (y conozco personalmente a mucha gente que ya ha pasado por este tipo de experiencias) quienes pueden suponer que estas no sean más que tácticas para mantener al cliente cautivo. Las ventanas arriba mostradas no son simulación alguna, son ventanas reales de usuarios que se toparon precisamente con los problemas que están siendo descritos aquí, se trata de material generado por el mismo proceso de desinstalación del Norton Antivirus que debería poder llevarse a cabo sin problema alguno en cuestión de unos cuantos minutos.

Habiendo fracasado en sus intentos por desinstalar el Norton Antivirus de su máquina, el usuario con la ayuda de Internet tal vez descubra acerca de la existencia de otra herramienta, el Norton Removal Tool (conocido también como el Symantec Removal Tool) creada por la misma empresa Symantec (una herramienta la cual por cierto no viene incluída dentro de los discos originales de instalación del Norton Antivirus), y la cual supuestamente le debe permitir al sufrido usuario el poder desinstalar Norton Antivirus de su máquina en caso de no haber podido hacer tal cosa desde el sistema operativo Windows. Pero si el usuario encuentra que no puede desinstalar el Norton Antivirus de su máquina ni siquiera con la ayuda del Symantec Removal Tool, en caso de que quiera instalar otro programa antivirus de otra compañía no le quedará más remedio que reformatear su disco duro e instalar desde el principio no sólo el sistema operativo Windows en su máquina sino todos los programas que ya tenía instalados hasta el momento en que ocurrió la infección. Y ni siquiera para esto último la víctima debe poder esperar ayuda de los técnicos de Symantec, ya que como se señaló, la empresa ni tiene claramente a disposición de sus clientes un domicilio de correo electrónico con el cual se puedan comunicar con ella como tampoco muestra un teléfono ofreciendo apoyo de ayuda gratuita para sus usuarios registrados.

El que sea mucho más difícil deshacerse del programa antivirus puesto en la computadora para supuestamente proteger a los clientes de infecciones informáticas que la misma infección informática para la cual el programa antivirus no sirvió de nada tal vez sea la mayor ironía de todas, la peor de las burlas posibles. Ojalá y esto no fuera así, pero tengo la obligación de documentar las malas experiencias que otras personas han tenido en sus esfuerzos para limpiar sus máquinas no sólo de parásitos indeseables sino de programas inútiles.

El usuario cuya computadora ha sido infectada por un virus informático tan potente como Spyware Protect 2009 tiene una ventaja sobre todos los programas antivirus que pueda haber en el mercado: conoce la fecha exacta y posiblemente hasta la hora en la que su computadora fue infectada. Esto le permite buscar todos los archivos y todas las carpetas nuevas que hayan sido creadas e instaladas en su computadora precisamente en ese día, lo cual le permite buscar dichos archivos y carpetas para borrarlos manualmente por completo de su computadora. Esto le permite también tratar de localizar aquellos archivos previos a la infección que hayan sido alterados e infectados por el virus en virtud de que todo archivo que haya sido creado (instalado) semanas, meses o inclusive años antes de la infección habrá sido modificado precisamente el día de la infección. Es con esto con lo que debe trabajar.