_________________________
La manifestación de la infección fue visible a partir del 26 de febrero de 2009 cuando al conectar la máquina a Internet de pronto algo interfirió con el proceso normal de navegación en Internet y el disco duro empezó a trabajar en forma intensa. Inmediatamente tras esto, empezaron a aparecer varias ventanitas pop-up advirtiendo que la máquina estaba severamente infectada y que era sumamente importante adquirir de inmediato el producto Spyware Protect 2009 en virtud de que la computadora supuestamente estaba en grave riesgo. El usuario, con cierto nivel de conocimientos técnicos, tras cerrar las ventanitas y ver que seguían apareciendo otras nuevas, abrió el Administrador de tareas de Windows, sin haber encontrado en la pestaña de Aplicaciones otros programas diferentes de los que usualmente corren en la computadora. Tras esto, abrió la pestaña de Procesos buscando algo diferente fuera de lo normal, encontrando algo que nunca antes había visto titulado sysguard.exe. Después de seleccionar la línea especificando dicho proceso y oprimir el botón “Terminar proceso”, procedió a cerrar la ventana del Administrador de Tareas y a desconectar la línea telefónica que conecta su computadora a Internet, temeroso de que algo pudiera haber entrado dentro de la máquina y que pudiera seguir bajando más material pernicioso o que pudiera estar enviando en forma no-autorizada datos desde su computadora hacia otro sitio remoto, lo cual fue una decisión correcta.
Hecho lo anterior, procedió a apagar su máquina para encenderla nuevamente en Modo seguro oprimiendo la tecla F8 antes del cargado normal de Windows XP. Abrió nuevamente el Administrador de Tareas, y encontró que se estaban ejecutando los siguientes procesos, de los cuales obtuvo la información adicional que se muestra junto a ellos con la ayuda de la opción “Buscar” de Windows accesible desde el botón de “Inicio” situado en la esquina inferior izquierda:
taskmgr.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es el proceso que pone a funcionar precisamente al Administrador de Tareas de Windows y por lo tanto no debe ser motivo de preocupación.
alg.exe
C:\WINDOWS\system32
Este es el Application Layer Gateway Service de Microsoft, y es parte integral del sistema operativo Windows.
symlcsvc.exe
C:\Archivos de programa\Common Files\Symantec
Este es un proceso que suponemos corresponde al programa antivirus Norton instalado en la máquina y que no pudo reconocer a tiempo la infección que cayó sobre la máquina.
qttask.exe
C:\Archivos de programa\Quick Time
Este es el programa Apple Quick Time Task que echa a andar el programa Quick Time de la empresa Apple.
jusched.exe
C:\Archivos de programa\Java\jre1.5 bin
Este es el programa que trata de actualizar la plataforma Java de la empresa Sun Microsystems, una plataforma que puede ser usurpada por el virus infector para tomar control sobre la máquina. Aquí es recomendable aplicar la opción de “Terminar proceso”.
issch.exe
C:\Archivos de programa\Common Files\Install Shield
Este es un programa de búsqueda de la empresa Install Shield utilizado por muchas máquinas para buscar en Internet las actualizaciones más recientes de los programas que la máquina tenga legalmente instalados. Normalmente este proceso se borra solo después del encendido de la máquina cuando Install Shield le pregunta al usuario a través de una ventana si desea que se lleve a cabo una búsqueda en Internet por actualizaciones y el usuario declina la proposición.
sysguard.exe
C:\WINDOWS
Este es el principal programa ejecutable del virus infector, el cual fue echado a andar automáticamente cuando se volvió a encender la computadora incluso en Modo seguro. Esto nos confirma que hay una entrada en el Registro (la cual tiene que ser borrada) que pide a Windows XP que el programa se eche a andar cada vez que se encienda la computadora, o bien hay una entrada nueva en la lista de programas de inicio que es necesario desmarcar para que el programa no se eche andar por cuenta propia cada vez que encendemos la computadora. Por lo pronto, terminamos este proceso.
RTHDCPL.EXE
C:\WINDOWS
Este es un programa propio de la máquina, posiblemente un programa pre-instalado en la máquina cuando fue vendida, de la empresa Realtek, el programa Realtek HD Audio Control Panel, encargado de modificar las opciones de los sonidos producidos en las bocinas de audio de la máquina.
spoolsv.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, el Microsoft Spooler Subsytem Application, y por esta misma razón no intentaremos detener la ejecución de este proceso.
explorer.exe
C:\WINDOWS
Este es el programa más importante de Windows XP, Explorer (no debemos confundirlo con el navegador Internet Explorer), sin el cual nos es muy difícil si no imposible el poder hacer cualquier cosa en la computadora, y por esta misma razón no intentaremos detener la ejecución de este proceso.
AppSvc32.exe
C:\Archivos de programa\Common Files\Symantec Shared\AppCore
Este es un programa asociado con los programas antivirus (Norton) de la empresa Symantec.
ccSvcHst.exe
C:\Archivos de programa\Common Files\Symantec Shared
Este es otro programa asociado con los programas antivirus (Norton) de la empresa Symantec.
AluSchedulerSvc.exe
C:\Archivos de programa\Symantec\LiveUpdate
Este es otro programa asociado con los programas antivirus (Norton) de la empresa Symantec, el programa encargado de llevar a cabo las actualizaciones “en vivo” para usuarios registrados.
LUCOMServer_3_1.EXE
C:\Archivos de programa\Symantec\LiveUpdate
Este es otro programa asociado con los programas antivirus (Norton) de la empresa Symantec, otro programa de apoyo encargado de llevar también a cabo las actualizaciones “en vivo” para usuarios registrados.
svchost.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, y por esta misma razón no intentaremos detener la ejecución de este proceso.
lsass.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, y por esta misma razón no intentaremos detener la ejecución de este proceso.
services.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, y por esta misma razón no intentaremos detener la ejecución de este proceso.
winlogon.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, y por esta misma razón no intentaremos detener la ejecución de este proceso.
csrss.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, es el Client Server Runtime Process, y por esta misma razón no intentaremos detener la ejecución de este proceso.
smss.exe
C:\WINDOWS\system32
C:\WINDOWS\I386\SYSTEM32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP, es el Session Manager, y por esta misma razón no intentaremos detener la ejecución de este proceso.
hpsysdrv.exe
C:\WINDOWS\system
Este programa fue elaborado por la empresa Hewlett-Packard, propietaria de la empresa Compaq que fue la que a su vez construyó y vendió la computadora.
HPZipm12.exe
C:\WINDOWS\system32
Este programa también fue elaborado por la empresa Hewlett-Packard, bajo el título “PML Driver”.
nvsvc32.exe
C:\WINDOWS\system32
Este programa es anunciado como un programa “driver” de la empresa NVIDIA fabricante de chips y tarjetas gráficas para monitores de color, titulado “NVIDIA Driver Helper Service”.
KodakSoftwareUpdater.exe
C:\Archivos de programa\Kodak\Kodak Software Updater\7288971\Program
Este es un programa para actualización vía Internet de programas usados conjuntamente con cámaras digitales Kodak. Estos programas generalmente vienen incluídos en un disco CD-ROM y se instalan en la computadora para poder enviar las fotos tomadas con la cámara digital a la computadora.
wuauclt.exe
C:\WINDOWS\system32
C:\WINDOWS\Service Pack Files\i386
Este es otro proceso que forma parte integral del sistema operativo Windows XP. Es el programa Windows Updates Automatic Updates y es precisamente el programa encargado de de bajar automáticamente de Internet las actualizaciones de Windows XP cada vez que la computadora se conecta a la red. Tampoco intentaremos detener la ejecución de este proceso.
cloaker.exe
C:\WINDOWS\system32\pcintro\tools
Este es un programa que no forma parte del virus infector, y de hecho es un programa que ya venía instalado en la computadora cuando fue comprada en la tienda, elaborado por una empresa que suponemos seria, Hewlett-Packard, un programa que por su solo nombre despierta sospechas; y una búsqueda en Internet nos confirma que junto con cloaker.exe, ya sea en la carpeta de Hewlett-Packard situada en la ruta mostrada arriba o en la carpeta cuya ruta es C:\HP\BIN podemos encontrar otros archivos con nombres igualmente sospechosos como commands.exe, spawn.exe y WaitAndDelete.jse, siendo este último un archivo Javascript encriptado para impedirle al dueño de la computadora el poder leer los contenidos de dicho archivo. El programa cloaker.exe parece estar anclado al programa wmiprvse.exe que forma parte de Windows Service Pack 2. Resulta lamentable que Hewlett-Packard haya hecho extremadamente difícil el poder deshacerse en una máquina de todo lo relacionado con cloaker.exe, despertando con ello sospechas de que se pueda estar llevando a cabo una recabación no-autorizada de datos que van a dar a manos de Hewlett-Packard. De cualquier manera, esto no está relacionado con una infección viral informática tipo Spyware Protect 2009.
YahooMessenger.exe
C:\Archivos de programa\Yahoo\Messenger
Este es precisamente el programa que echa a andar el Messenger de Yahoo. En previsión de que el virus infector lo pueda utilizar usurpando sus recursos, es altamente recomendable terminar este proceso.
reader_sl.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader
Por la ruta nos damos cuenta de inmediato que la computadora tiene instalado el programa Adobe Acrobat que es necesario para poder leer los archivos en formato .pdf. La presencia de este programa ejecutándose todo el tiempo es como una especie de “acelerador” para invocar automáticamente el programa cada vez que queramos leer un archivo .pdf. Aquí tampoco es necesario detener este proceso.
System
Proceso inactivo del sistema
Las últimas dos líneas siempre aparecen en todas las versiones de Windows XP y no contienen información alguna que pueda ser de mucha utilidad al usuario.
Hecho lo anterior, con la ayuda del “Editor del Registro” se llevó a cabo una inspección de las líneas existentes en el apartado del Registro que se encarga de echar a andar los programas de la máquina cuando la máquina es encendida:
HKEY_CURRENT_USER - Software - Microsoft - Windows
- Current Version - Run
Se encontraron cuatro entradas:
Nombre: (Default)
Tipo: REG_SZ
Data: (value not set)
Nombre: MSMSGS
Tipo: REG_SZ
Data: "C:\Archivos de programa\Messenger\msmsgs.exe" /background
Nombre: sysguard.exe
Tipo: REG_SZ
Data: "C:\WINDOWS\sysguard.exe"
Nombre: rundll32.exe
Tipo: REG_SZ
Data: rundll32.exe "C:\Documents and Settings\Administrator
\Application Data\Macromedia\Common\3b3140361.dll"
La primera entrada es usual de todas las entradas del Registro y no tiene por qué ser tocada. Se dejó intacta.
La segunda entrada especifica que uno de los Messenger estará corriendo en el trasfondo. El problema de esta entrada estriba en que un Messenger requiere una conexión directa a Internet, la cual puede ser utilizada no sólo por el Messenger sino por el virus infector aún cuando el Messenger en sí no haya sido abierto, y es posible que inclusive el mismo Messenger haya sido infectado por la variante del virus instalada en la computadora. Se decidió dejar intacta esta entrada del Registro pero el programa ejecutable msmsgs.exe fue sacado de la carpeta Messenger puesta en la carpeta Archivos del programa con el fin de que no empiece a correr en el trasfondo al arrancar la máquina.
La tercera entrada es la señal clara y distintiva de la infección, porque sysguard.exe es precisamente la principal herramienta de trabajo usada para comenzar a apoderarse de los recursos de la computadora e ir obligando al usuario a que pague por la compra de Spyware Protect 2009. La presencia de esta línea en la especificación de los procesos que deben ser puestos en operación a la hora de encender la máquina es precisamente la razón del por qué al haber echado a andar la computadora sysguard.exe volvió a aparecer ejecutándose dentro de la lista de procesos. Después de haber tomado nota del lugar en donde estaba situado este archivo y haberse detenido nuevamente la ejecución del mismo con la ayuda del Administrador de Tareas, sysguard.exe fue enviado a la papelera de reciclaje para ser borrado de forma permanente de la máquina, y tras esto la tercera entrada puesta en el Registro también fue borrada con el Editor del Registro.
La cuarta entrada pone en movimiento uno de los más importantes recursos del sistema operativo Windows, la librería de enlace dinámico, sin la cual todo el sistema se puede venir abajo dejando a la computadora inservible. Entendiblemente esta línea se dejó intacta.
A continuación, se llevó a cabo una inspección de los contenidos de la carpeta Prefetch siguiendo tres criterios:
(1) Búsqueda de archivos Prefetch creados el día y la hora en la cual se llevó a cabo la infección original, con la misma fecha de creación y modificación puestas en sus “Propiedades”.
(2) Búsqueda de archivos Prefetch creados en una fecha previa a la fecha en la cual se llevó a cabo la infección, con fechas de creación y modificación diferentes pero con fecha de modificación coincidiendo con el día y la hora en la cual se llevó a cabo la infección original.
Ambos tipos de archivo fueron movidos hacia otras dos carpetas diferentes creadas para tal propósito.
Los archivos Prefetch que fueron encontrados creados el día y la hora en la cual se llevó a cabo la infección original, con la misma fecha de creación y modificación puestas en sus “Propiedades”, son los siguientes (las hileras de ocho caracteres alfanuméricos puestas inmediatamente antes de la extensión .pf son información en representación numérica hexadecimal cuyo significado no debe preocupar al lector):
ACCTMGR.EXE-24BD18F4.pf
CCAPP.EXE-1207B2A5.pf
CFD.EXE-3580EFD4.pf
CLOAKER.EXE-119D9EB8.pf
CMD.EXE-087B4001.pf
FQHIMANN.EXE-12662691.pf
GAMECONSOLE.EXE-1207CF62.pf
HPBOOTOP.EXE-0F8A9CD9.pf
HPWUSCHD2.EXE-287286E1.pf
JUSCHED.EXE-287286E1.pf
MSIEXEC.EXE-2F8A8CAE.pf
NJNUSGXZ.EXE-2D0F9FBC.pf
ONPLAY.EXE-29B44441.pf
USCHECK.EXE-1DED469F.pf
REGUARD.EXE-3990548D.pf
REGSVR32.EXE-25EEFE2F.pf
RSTRUI.EXE-03C49A96.pf
RTHDCPL.EXE-06918CFA.pf
RUNDLL32.EXE-1E55DBED.pf
RUNDLL32.EXE-2BD07171.pf
RUNDLL32.EXE-415F88EC.pf
SYSGUARD.EXE-39D8A190.pf (Hora de infección: 5:31 P.M.)
UPDATE.EXE-20A1F586.pf
UPDATE.EXE-097C20DF.pf
WJQS.EXE-37330CEE.pf
YBRWICON.EXE-00D5E1F9.pf
Obsérvese que hay un archivo prefetch con el título SYSGUARD.EXE, precisamente el que corresponde al principal programa infector, el cual tiene que ser sacado de inmediato de la carpeta Prefetch para que ninguna de las variantes que se hayan escrito del virus lo puedan encontrar allí. A través de las “Propiedades” del archivo aquí podemos determinar sin riesgo alguno la fecha y la hora exacta en la cual se llevó a cabo la infección, a las 5:31 P.M.
Por otra parte, los archivos Prefetch que fueron encontrados creados en fechas anteriores a la fecha de la infección pero que fueron modificados el día y la hora en la cual se llevó a cabo la infección original son los siguientes:
ACRORD32.EXE-13285B88.pf
ACROR32INFO.EXE-013EA364.pf
FIREFOX.EXE-28641590.pf
HELPER.EXE-0415776D.pf
HPZIPM12.EXE-145E7369.pf
IEXPLORE.EXE-27122324.pf
JAVA.EXE-0539FACC.pf
JYNILAVM.EXE-08BC604A.pf
Todos los archivos como estos pueden sacados de la carpeta Prefetch y movidos hacia otro lado en donde el virus infector no los pueda encontrar siguiendo la regla de oro de que ninguno de los archivos prefetch es realmente indispensable para que pueda trabajar bien el sistema operativo.
Además de estos archivos, encontramos un archivo interesante:
YCOMMON.EXE-0BCD1E4.pf
el cual tiene fecha de creación del 15 de enero de 2009 y fecha de modificación del 26 de febrero de 2009, o sea en el día en el que ocurrió la infección, pero con una hora de modificación que marca las 10:41 P.M. Este archivo es interesante porque no puede ser movido ni borrado de la carpeta Prefetch, y esto lo descubrimos precisamente cuando tratamos de moverlo fuera sacándolo de la carpeta Prefetch. Este es un comportamiento altamente inusual para archivos prefetch. Windows XP nos señala que el acceso para borrar este archivo está siendo negado, pese a que este no es un archivo esencial para el funcionamiento del sistema operativo, habiendo sido instalado apenas 11 días antes de que se llevara a cabo la infección. ¡Ni siquiera se nos permite hacer una copia de dicho archivo para poder inspeccionar sus contenidos, pese a que estamos trabajando en Modo Seguro! Algo puede andar mal aquí, y este es precisamente el tipo de cosas que nos deben poner en alerta aunque no se trate de algo serio.
Una búsqueda en Internet nos revela que el archivo YCOMMON.EXE asociado al archivo prefetch del mismo nombre sobre el cual tenemos dudas es el archivo de un proceso situado en la ruta:
__C:\Archivos de programa\Yahoo!\browser
utilizado por una de las versiones de los Messenger de un navegador distribuido gratuitamente con una barra integrada de Yahoo, y por lo tanto no es necesario detener la ejecucion de YCOMMON.EXE a menos de que se sospeche que pueda estar causando problemas como en el caso de una infección viral informática. Esto se puede solucionar con un “limpiador” del Registro (algo ausente en el sistema operativo Windows y que inclusive se tiene que comprar por separado de las mismas empresas que venden paquetes antivirus por no ser parte integral de los paquetes antivirus.)
Hecho lo anterior, con la ayuda de la “Utilidad de configuración del sistema” se procedió a desmarcar varios de los casilleros (“Elemento de inicio”) que especificaban el arranque de varios programas al llevarse a cabo el encendido de la computadora. La lista completa de los elementos de inicio listados por la “Utilidad de configuración del sistema” así como sus rutas, tal y como aparecían puestos, así como la explicación de la acción que se tomó en cada caso, se muestra a continuación (puesto que se supone aquí que la máquina infectada ha sido desconectada de Internet, se puede utilizar otra máquina no-infectada conectada en el mismo lugar a la misma toma telefónica con el fin de obtener ayuda en nuestra búsqueda a través de Internet sobre asuntos en los que tengamos duda, lo cual será de utilidad como lo veremos en los casos siguientes):
Elemento de inicio: rundll32
Comando: rundll32.exe futil2.dll, SetWriteCache Mode
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
El programa ejecutable rundll32.exe es uno de los programas más importantes del sistema operativo Windows, y antes de detener cualquier acción relacionada con el mismo es importante asegurarse de que no se afectará algo crítico al inicio tras el encendido de la computadora. La línea de comando nos está diciendo que aquí está siendo utilizado para poner en movimiento una librería de enlace dinámico, la librería futil2.dll, con una opción titulada SetWriteCacheMode. Una inspección a las propiedades de la librería futil2.dll y una búsqueda por Internet para obtener información acerca de este archivo nos comprueba que se trata de un archivo con un tamaño de 106 KB situado en la ruta:
__C:\WINDOWS\System32
El programa, que es cargado durante el proceso de arranque de la computadora, tiene las siguientes entradas en el Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
El programa futil2.dll no es un archivo propio del sistema operativo Windows, se trata de un programa creado independientemente por la empresa Promise Technology (www.promise.com), y no debemos anticipar que éste sea un programa instalado en todas las máquinas. En varios sitios de Internet se nos advierte que el archivo futil2.dll instalado en la máquina podría no ser procedente de la emprea Promise Technology, sino un impostor instalado por el virus invasor. La forma de saberlo es consultando las fechas de creación y modificación del archivo en la máquina, y al ser ambas de dos años atrás anteriores a la fecha de la infección, se concluye que el futil2.dll no tiene nada que ver con la infección que ocupa nuestra atención. Dejamos por lo tanto esta entrada habilitada con el fin de desestabilizar el sistema lo menos posible.
Elemento de inicio: RTHDCPL
Comando: RTHDCPL.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ya habíamos visto antes a través del Administrador de Tareas de Windows que RTHDCPL.EXE es un programa propio de la máquina procedente de la empresa Realtek, el programa Realtek HD Audio Control Panel utilizado para echar a andar el manejo del audio de la computadora. Dejamos por lo tanto esta entrada habilitada para no interferir con las operaciones normales del sistema de audio al ser encendida la computadora.
Elemento de inicio: NvCpl
Comando: RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll, NvStartup
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo NvCpl.dll parten de la fecha en la que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Una búsqueda posterior en Internet nos confirma que NvCpl.dll es un fichero de la biblioteca para el adaptador de visualización de la tarjeta de gráficos NVIDIA instalada en la máquina, conocido también con el nombre genérico “NVIDIA Display Properties Extension”, e inclusive se puede descargar gratuitamente de Internet en caso de ser necesario por aquellos usuarios con computadoras que tengan tarjetas de gráficos NVIDIA instaladas en sus computadoras con las cuales estén teniendo problemas.
Elemento de inicio: nwiz
Comando: nwiz.exe/install
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo ejecutable nwiz.exe predatan desde la fecha en que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Una búsqueda posterior en Internet nos confirma que tomamos aquí la decisión correcta puesto que el proceso nwiz.exe es un programa que se carga cuando en la máquina hay instalada una tarjeta de video NVIDIA, y en la máquina infectada en efecto hay instalada una tarjeta de video NVIDIA integrada a la tarjeta madre (motherboard). Aquí es necesario ejercer cierta precaución porque por medio de Internet nos enteramos de que existen programas malignos que emplean el mismo nombre nwiz.exe para pasar desapercibidos (como el W32.Gaobot.ZX o el Backdoor.Agobot.IQ) y por lo tanto, si no hay ninguna tarjeta NVIDIA en la computadora, probablemente nwiz.exe sea un virus maligno ya que no tiene razón de existir en una computadora que no posea una tarjeta de gráficos NVIDIA.
Elemento de inicio: RECGUARD
Comando: C:\WINDOWS\SMINST\RECGUARD.EXE
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Esta entrada no la reconocemos entre la lista de aplicaciones y procesos que habíamos obtenido previamente con la ayuda del Administrador de Tareas de Windows. Las fechas de creación y modificación de este archivo predatan desde la fecha en que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Una búsqueda posterior en Internet nos confirma que tomamos aquí la decisión correcta, ya que la computadora es una computadora Hewlett-Packard (HP) y RECGUARD.EXE es un proceso que se instala en las computadoras respaldadas por HP para impedir que el usuario pueda borrar o corromper la partición de recuperación (WinXP Recovery Partition).
Elemento de inicio:
Comando:
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Elemento de inicio:
Comando:
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Tenemos aquí dos entradas que, extrañamente, no tienen nombre alguno, como tampoco nos dicen cuál es el tipo de comando que están ejecutando, todo lo cual nos impide tratar de localizarlas dentro de la computadora para inspeccionarlas. Los programas legítimamente instalados en una computadora no tienen necesidad de andarse ocultando, y en base a esto procedemos a inhabilitar ambas entradas para que ya no sean elementos de inicio al encenderse la máquina.
Elemento de inicio: adjust
Comando: C:\hp\bin\cloaker.exe C:\hp\bin\IcoSet\adjust.bat seticon
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ya habíamos visto anteriormente con la ayuda del Administrador de Tareas de Windows que el programa cloaker.exe utilizado en esta entrada no forma parte del virus infector, y por lo tanto dejamos esta entrada habilitada.
Elemento de inicio: HPWuSchd2
Comando: C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Al llevar a cabo una búsqueda para encontrar el archivo ejecutable HPWuSchd2.exe, encontramos que las fechas de creación y modificación de este archivo predatan desde la fecha en que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Todo parece indicar que se trata de un programa para llevar a cabo actualizaciones automáticas de la empresa HP sobre la máquina si las hay cada vez que se enciende la máquina.
Elemento de inicio: cmdcons
Comando: C:\hp\bin\cloaker.exe C:\hp\bin\cmdcons.cmd
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
De nueva cuenta, ya habíamos visto anteriormente con la ayuda del Administrador de Tareas de Windows que el programa cloaker.exe sobre el cual se basa la ejecución del archivo cmdcons.cmd utilizado en esta entrada no forma parte del virus infector, y por lo tanto dejamos esta entrada habilitada.
Elemento de inicio: realsched
Comando: "C:\Archivos de programa\Common Files\Real\Update_OB\realsched.exe" -osboot
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo realsched.exe son anteriores a la fecha en que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Una búsqueda posterior en Internet nos confirma que realsched.exe es un programa legítimo de la empresa RealNetworks, creadora del popular programa que es un reproductor multimedia para la ejecución de archivos de audio y video.
Elemento de inicio: ccApp -- ¡PRECAUCION!
Comando: "C:\Archivos de programa\Common Files\Symantec Shared\ccApp.exe"
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Elemento de inicio: osCheck -- ¡PRECAUCION!
Comando: C:\Archivos de programa\Norton Anti Virus\osCheck.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Puesto que la máquina tiene instalado el programa antivirus Norton de la empresa Symantec, la sola mención de la palabra Symantec en la primera entrada nos confirma que ccApp.exe es un programa ejecutable que pone en movimiento algo relacionado con el programa antivirus de Norton cada vez que se enciende la computadora. Por otra parte, osCheck parece ser aquí algo propio de los programas antivirus de Norton que entra en acción cada vez que se enciende la computadora revisando la integridad de los archivos esenciales del sistema operativo, algo que resultó a fin de cuentas totalmente inútil puesto que la revisión llevada a cabo por el programa antivirus no detectó jamás la presencia de la variante del virus Spyware Protect 2009 instalado en la máquina desde el día en que entró. Puesto que el programa antivirus Norton instalado en la máquina posiblemente no estaba actualizado porque tenía su licencia ya caducada o inclusive aún estando actualizado no sirvió para detener la infección que se metió a la máquina, se intentó deshabilitar las dos entradas anteriores por considerarlas superfluas. Pero esto no fue posible. Al deshabilitar las dos entradas anteriores, no era posible tratar de entrar en la computadora en su modo normal. Sólo se podía entrar dentro de la misma en el Modo seguro con la ayuda de la tecla F8. Tratar de entrar en Modo normal dejaba a la máquina colgada atorada en el mensaje de bienvenida de Windows. Se tuvieron que habilitar por lo tanto ambas entradas para poder verificar posteriormente el funcionamiento de la máquina en su modo normal (sin la ayuda de la tecla F8).
Elemento de inicio: osCheck
Comando: "C:\Archivos de programa\Norton Confidential\osCheck.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Esto parece ser otro chequeo del sistema operativo cuando es encendida la máquina pero no por el programa antivirus sino por otro programa de la misma empresa titulado Norton Confidential. No fue necesario deshabilitar ésta entrada porque desapareció por sí sola cuando se desinstaló por completo el paquete Norton Confidential de la máquina con la ayuda del Panel de Control de Windows en la opción de “Agregar o quitar programas”.
Elemento de inicio: AcctMgr
Comando: "C:\Archivos de programa\Common Files\Symantec Shared\coShared\CIM\1.0\AcctMgr.exe /startup
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nuevamente, puesto que la máquina tiene instalado el programa antivirus Norton de la empresa Symantec, la sola mención de la palabra Symantec nos confirma que AccttMgr.exe es un programa ejecutable que con esta entrada es puesto en movimiento cada vez que se enciende la computadora. Y al igual que en el caso de las entradas anteriores que fueron inhabilitadas, podemos inhabilitar también esta entrada, ya que no fue de ninguna utilidad para detener la infección viral que entró en la computadora ni nos será ya de ninguna ayuda para lo que estamos tratando de remover.
Elemento de inicio: CFD
Comando: C:\Archivos de programa\BroadJump\Client Foundation\CFD.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Este archivo es interesante porque aunque no entró en la máquina la fecha en que ocurrió la infección tampoco es un archivo que fue instalado durante la fabricación de la máquina sino varios meses después. Una búsqueda en Internet nos confirma que se trata de un programa creado por la empresa Motive Communications que le permite al proveedor de servicios de Internet de banda ancha facilitarle su conexión inicial a Internet de alta velocidad y darle mejor soporte al usuario ya conectado. Por lo tanto dejamos esta entrada habilitada.
Elemento de inicio: vsnpstd3
Comando: C:\WINDOWS\vsnpstd3.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo vsnpstd3.exe predatan por buen tiempo a la fecha en la cual se llevó a cabo la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Una búsqueda en Internet nos confirma que se trata de un programa relacionado con la aplicación CameraMonitor Application de la empresa Sonix relacionado con las cámaras Web.
Elemento de inicio: msmsgs
Comando: "C:\Archivos de programa\Messenger\msmsgs.exe" /background
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
El programa msmsgs.exe es indiscutiblemente el programa principal utilizado para trabajar con el Windows Messenger, y mientras removemos manualmente la infección lo mejor que podemos hacer es dejarlo inhabilitado. Cuando se haya removido la infección el programa puede ser rehabilitado nuevamente.
Elemento de inicio: ISUSPM
Comando: C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo ISUSPM.exe predatan por buen tiempo a la fecha en la cual se llevó a cabo la instalación del virus infector, y por lo tanto podríamos pensar en dejar esta entrada habilitada. Una búsqueda en Internet nos confirma que ISUSPM.exe es un programa de la empresa Install Shield utilizado por muchas máquinas para buscar en Internet las actualizaciones más recientes de los programas que la máquina tenga legalmente instalados. En base a esta información, el programa fue inhabilitado puesto que lo último que queremos tener activado cada vez que se encienda la máquina es un programa con un servicio de actualizaciones automáticas como InstallShield.
Elemento de inicio: issch
Comando: "C:\Archivos de programa\Common Files\InstallShield\Update Service\issch.exe" -start
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo issch.exe predatan por buen tiempo a la fecha en la cual se llevó a cabo la instalación del virus infector, y por lo tanto podríamos pensar en dejar esta entrada habilitada. Una búsqueda en Internet nos confirma que issch.exe es otro programa de la empresa Install Shield utilizado por muchas máquinas para buscar en Internet las actualizaciones más recientes de los programas que la máquina tenga legalmente instalados, y seguramente trabaja en coordinación con la entrada anterior. En base a esta información, el programa fue inhabilitado puesto que lo último que queremos tener activado cada vez que se inicie un programa es el servicio de actualizaciones automáticas de InstallShield.
Elemento de inicio: jusched
Comando: "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
El programa jusched.exe es un programa utilizado por el servicio automático de actualizaciones de la plataforma Java utilizado por los navegadores de Internet. Por precaución y en forma temporal, esta entrada fue inhabilitada mientras se llevaba a cabo la remoción total del virus.
Elemento de inicio: NeroCheck
Comando: C:\Archivos de programa\Common Files\Ahead\Lib
\NeroCheck.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo NeroCheck.exe predatan a la fecha en la cual se llevó a cabo la instalación del virus infector. Este parece ser un programa utilizado por el popular quemador de CDs Nero, el cual está instalado en la máquina, y por lo tanto se puede dejar esta entrada habilitada. Una búsqueda en Internet nos confirma que NeroCheck.exe efectivamente corresponde a un programa de esta empresa.
Elemento de inicio: qttask
Comando: "C:\Archivos de programa\QuickTime\qttask.exe" attboottime
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Ya habíamos visto antes a través del Administrador de Tareas de Windows que qttask.exe es un programa propio de la máquina procedente de la empresa Apple, el programa Quick Time. Dejamos por lo tanto esta entrada habilitada.
Elemento de inicio: Recover From Reboot
Comando: C:\WINDOWS\Temp\RecoverFromReboot.exe
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Las fechas de creación y modificación del archivo RecoverFromReboot.exe predatan a la fecha en la cual se llevó a cabo la instalación del virus infector. Buscando en Internet encontramos que el programa RecoverFromReboot.exe forma parte del paquete de instalación de servicios de conexión a Internet de alta velocidad SBC/Yahoo DSL, y posiblemente la máquina había estado conectada antes a una instalación que ofrecía tales servicios de alta velocidad. No hay razón alguna que nos motive a inhabilitar esta entrada.
Elemento de inicio: 3b3140361.dll
Comando: rundll32.exe "C:\Documents and Settings\Administrator\Application Data\Macromedia\Common\3b3140361.dll
Ubicación: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Un nombre tan críptico como el que aparece aquí como nombre para éste elemento de inicio no es usual para un elemento legítimo instalado como elemento de inicio de operaciones de la computadora. Al desmarcar el casillero correspondiente a este elemento, cerrar la “Utilidad de configuración del sistema”, y volver a abrir la misma utilería, el archivo 3b3140361.dll apareció nuevamente habilitado. Y no sólo esto, sino que más abajo había otra entrada con el mismo nombre 3b3140361.dll pero con el casillero desmarcado, posiblemente reflejando la acción que habíamos tomado,. Algo en la computadora, al darse cuenta de que el elemento había sido desmarcado, usurpando los recursos interiores del sistema de Windows volvió a crear otra entrada invocando la activación del mismo elemento 3b3140361.dll. Obviamente algo se estaba resistiendo a ser inhabilitado de la lista de programas de arranque inicial de la computadora. Esto motivó una búsqueda en la computadora de dicho archivo, el cual demostró tener las siguientes propiedades:
__Archivo: 3b3140361.dll
__C:\Documents and Settings\Compaq_Owner\Application Data\Macromedia\Common
__Tamaño: 63 KB
__Versión: 7.0.6000.20815
__Descripción: OLE32 Extension for Win32
__Copyright: Microsoft Corporation
__Creado: 26 de febrero de 2009
Aparentemente, por los datos proporcionados por los creadores de éste módulo, se trataba de un módulo legítimo desarrollado por la misma empresa Microsoft, una extensión tipo OLE32 (Object Linking and Embedding) para ser utilizado por los sistemas operativos Windows de 32 bits. Pero esto es un engaño deliberado creado para confundir y despistar inclusive a los técnicos encargados de darle mantenimiento a las máquinas. Lo que delata al archivo como un archivo impostor es su fecha de creación. ¡Fue creado en la computadora no años atrás cuando a la computadora recién construída se le instaló el sistema operativo Windows XP, sino precisamente el mismo día en el que se llevó a cabo la infección de la computadora! Reconocida la naturaleza falsa de este impostor, se procedió a cortar dicho archivo de su sitio moviéndolo fuera de la computadora para que ya no hubiera forma de que pudiera ser accesado por el intruso invasor. Este ejemplo demuestra que los autores de estos virus maliciosos están dispuestos a esconderse incluso bajo nombres legítimos de empresas establecidas, en este caso la misma Microsoft creadora del sistema operativo Windows XP bajo ataque.
Elemento de inicio: Adobe Reader Speed Launch
Comando: C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER1.exe
Ubicación: Common Startup
Las fechas de creación y modificación del archivo READER1.exe predatan a la fecha en la cual se llevó a cabo la instalación del virus infector. Buscando en Internet encontramos que aunque el programa READER1.exe es utilizado como una ayuda para lectura de archivos en formato “.pdf” también se han reportado impostores y variantes del mismo que son de hecho programas maliciosos como Spyware Protect 2009. Por seguridad esta entrada es desactivada y sólo será reactivada nuevamente en caso de que haya problemas con la lectura de archivos elaborados bajo el formato diseñado por la empresa Adobe.
Elemento de inicio: HP Digital Imaging Monitor
Comando: C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe
Ubicación: Common Startup
Las fechas de creación y modificación del archivo hpqtra08.exe predatan de la fecha en que la computadora fue puesta en operación por vez primera, mucho antes de la instalación del virus infector, y por lo tanto dejamos esta entrada habilitada. Se trata de un programa que habilita las funciones del monitor digital de la empresa Hewlett-Packard.
Elemento de inicio: Kodak EasyShare Software
Comando: C:\PROGRA~1\Kodak\KODAKE~1\bin\EASYSH~1.EXE -hx
Ubicación: Common Startup
Elemento de inicio: KODAK Software Updater
Comando: C:\PROGRA~1\Kodak\KODAKS~1\7288971\KODAK~1.EXE
Ubicación: Common Startup
Las últimas dos entradas son entradas en las cuales nos ayuda un conocimiento de lo que se le ha añadido a la máquina. Se sabe de antemano que la máquina tiene instalada la capacidad para poder bajar las fotos de una cámara digital Kodak a la computadora, y las dos entradas son las que se encargan de hacer esto posible así como de buscar las actualizaciones más recientes de Kodak cuando las haya disponibles.
Obsérvese cómo un conocimiento previo de los programas que ya estaban operando dentro de la máquina nos fue de gran utilidad para ayudarnos a fijar nuestro criterio. Obsérvese también cómo resulta de gran utilidad tener una computadora de reserva no-infectada para conectarla a Internet teniéndola a un lado de la máquina a la cual tratamos de limpiarle la infección viral informática.
A continuación, utilizando la metodología top-down descrita en la sexta entrada de ésta bitácora (titulada “Procedimiento top-down de búsquedas”), se llevó a cabo una búsqueda de todos los archivos que pudieran haber sido instalados en la máquina el día en el cual se llevó a cabo la infección, encontrándose los siguientes archivos:
iehelper.dll
C:\WINDOWS\system32
Tamaño: 9.5 KB
Creado: 26 de febrero de 2009 a las 6:40 P.M.
Modificado: 26 de febrero de 2009 a las 6:40 P.M.
Este archivo resultó ser, de acuerdo con una consulta rápida a Internet, uno de los principales archivos auxiliares utilizados por el principal programa infector sysguard.exe, y su mala fama ha estado cundiendo rápidamente alrededor del mundo entero a la par con la mala fama de la empresa criminal Spyware Protect 2009. Ni siquiera se intentó enviarlo a la papelera de reciclaje o guardarlo en otra parte, se le borró por completo para que nadie pudiera tener acceso a dicho archivo malicioso ni siquiera por accidente u omisión.
fqiHMMan.exe
C:\Documents and Settings\Compaq_Owner\Local Settings\Temp
Tamaño: 375 KB
Creado: 26 de febrero de 2009 a las 6:29 P.M.
Modificado: 26 de febrero de 2009 a las 6:29 P.M.
Aquí lo que llama la atención es que, además de ser un archivo creado precisamente el día en el cual se llevó a cabo la infección, se trata de un archivo algo grande cuyo tamaño parecía ser casi el mismo que el tamaño del archivo infector original sysguard.exe, sospechándose que este archivo pudiera ser una copia idéntica del archivo infector principal sysguard.exe creada y puesta bajo otro nombre diferente con el fin de recuperarlo en caso de que el usuario borrase el archivo sysguard.exe en la creencia falsa de que al hacer tal cosa ya había liberado a su computadora del virus. La hipótesis de que el archivo fqiHMMan.exe no fuera más que una copia del archivo maligno sysguard.exe pero puesto con otro nombre diferente en otra parte de la computadora con el fin de que, en previsión de que el usuario haya borrado el archivo sysguard.exe del sistema, la infección viral pudiera recurrir a la copia creada bajo el nombre impostor fqiHMMan.exe restituyendo a partir de la misma el archivo infector original sysguard.exe, puede ser confirmada comparando los tamaños de ambos archivos. Puesto que el archivo infector original sysguard.exe eno fue eliminado por completo sino sacado fuera de la máquina, esta era una hipótesis susceptible de ser confirmada. Los tamaños de ambos archivos de acuerdo con las propiedades de los mismos que nos dá el sistema operativo Windows son los siguientes:
____sysguard.exe
____Tamaño: 364,556 bytes
____Tamaño en disco: 376,832 bytes
____fqiHMMan.exe
____Tamaño: 364,556 bytes
____Tamaño en disco: 376,832 bytes
¡Los tamaños de ambos archivos son exactamente los mismos! Esto confirma que fqiHMMan.exe es una copia idéntica del archivo original sysguard.exe, puesta por el virus no en el directorio
____C:\WINDOWS
en donde estaba puesto sysguard.exe sino en el directorio
____C:\Documents and Settings\Compaq_Owner\Local Settings\Temp
con la finalidad de despistar y confundir a la víctima que pueda creer que con el solo hecho de haber borrado a sysguard.exe bastó para liberar a la máquina de la infección. Esto demuestra que no basta con eliminar el archivo infector original, es imprescindible buscar en la computadora todos los rastros posibles de una infección con el fin de impedirle a un virus que se pueda reconstituír de nuevo utilizando copias del mismo que haya creado en la computadora para tal fin.
JYniLaVM.exe
C:\Documents and Settings\Compaq_Owner\Local Settings\Temp
Tamaño: 76 KB
Creado: 26 de febrero de 2009 a las 6:29 P.M.
Modificado: 26 de febrero de 2009 a las 6:29 P.M.
Observamos aquí que este archivo creado el mismo día en el que ocurrió la infección tiene aparejado el archivo JYNILAVM.EXE-08BC604A.pf que ya habíamos encontrado en la carpeta Prefetch.
A estas alturas, con la información que hemos estado recabando, podemos situar no sólo la fecha sino la hora a la cual ocurrió la infección: de las 6:29 P.M. a las 6:40 P.M. Este fue el tiempo que le tomó al virus para entrar en la máquina auxiliado por un troyano e instalarse por completo en la misma.
Además de los archivos ya señalados, se encontraron los siguientes archivos tipo Extended Markup Language con extensión “.xml”:, todos ellos creados en el día y en la hora aproximada en la cual se llevó a cabo la infección de la computadora:
IMT465.xml
IMT466.xml
IMT467.xml (¡Este es un archivo de 690 KB!)
IMT47A.xml
IMT47B.xml (¡Este también es un archivo de 690 KB!)
IMT479.xml
Los seis archivos anteriores estaban situados en la carpeta especificada por la ruta:
C:\Documents and Settings\Compaq_Owner\Local Settings\Temp
Una vez localizados todos estos archivos se procedió a eliminarlos por completo enviándolos primero a la papelera de reciclaje y una vez allí borrándolos por completo del sistema, o bien cortándolos y moviéndolos fuera de la computadora hacia un flash drive para su posterior análisis. Todos los archivos con extensiones “.exe”, “.bin”, “.dll”, “.htm”, “.html”, “.js” y “.xml” creados en la computadora el día en el que ocurrió la infección fueron eliminados en su totalidad de la computadora.
También dentro de la carpeta de WINDOWS se encontró el siguiente archivo:
0.log
creado dentro de la computadora precisamente el día en el que ocurrió la infección. Los archivos con extensiones “.log” generalmente son archivos de texto creados y usados por el sistema operativo Windows, y pueden ser leídos como tales con el “Bloc de notas”. Generalmente son unas “mini bitácoras” usadas para llevar a cabo apuntes escritos en lenguaje técnico que pueden ser de ayuda para enterarse de modificaciones o actualizaciones de interés, aunque también cabe la posibilidad de que un intruso lo haya creado con la extensión “.log” con la finalidad de esconderse y pasar desapercibido. Por precaución, este archivo se envió a la papelera de reciclaje pero no se le borró de la computadora. Esta decisión fue facilitada por el hecho de que al ser enviado a la papelera de reciclaje el archivo 0.log estaba vacío, aún no se había anotado nada dentro del mismo.
Además de los archivos ya señalados, se encontró otro archivo sospechoso y pequeño (con un tamaño de 22 KB) que no fue creado el día en el que ocurrió la infección sino el 10 de enero de 2009, o sea mes y medio antes de que ocurriera la infección:
~.exe
Este es un nombre extraño, sumamente sospechoso, porque no se trata de nombre alguno sino de un símbolo críptico (~). Podría tratarse de un troyano que esperó pacientemente el tiempo suficiente para darle la entrada a Spyware Protect 2009 el 26 de febrero de 2009, o bien podría tratarse de otra infección informática independiente de la infección que entró en la computadora el 26 de febrero de 2009. Como el usuario de la computadora no recuerda haber instalado por su propia cuenta programa alguno desde hace varios meses, esto hace la presencia de este archivo aún más sospechosa. En virtud de que la máquina ha estado funcionando desde el 1 de agosto de 2006, el programa no parece ser algo esencial e indispensable para que el sistema operativo Windows XP pueda funcionar. Por precaución, el programa fue movido hacia otra parte en donde no pudiera ser encontrado por algún programa infector.
En la siguiente ruta:
____C:\WINDOWS\system32\drivers\etc
se descubrió que el archivo hosts había sido modificado el día y la hora en la que ocurrió la infección. No fue difícil determinar lo que había sido agregado a hosts, conociendo de antemano la dirección principal del sitio malicioso que aparecía al abrirse espontáneamente una página del navegador diseñada para presionar a la víctima a la compra de Spyware Protect 2009 (véase la primer entrada titulada “Un virus informático maligno”:
____http://browser-security.microsoft.com/block.php?r=17.2
La entrada maliciosa es la siguiente:
___195.245.119.131 browser-security.microsoft.com
Esta es una entrada que no sólo redirecciona hacia la víctima directamente hacia las manos de sus victimarios, sino que también puede bloquear el acceso a sitios reconocidos de seguridad en Internet.
Afortunadamente, no se requiere una herramienta especial para editar el archivo hosts, esto se puede llevar a cabo con el “Bloc de Notas” de Windows. Sin embargo, es importante que al modificar el archivo hosts se haga con la computadora desconectada por completo de Internet y encendida en el Modo seguro sin capacidad de uso de redes. Aquí la única acción que se tomó consistió en borrar la entrada maliciosa, restableciendo de este modo el archivo hosts a su condición original, y de hecho no fue necesario borrarla, bastó con anteceder la línea que especificaba la entrada con un "#" como lo muestran la explicación previa y los ejemplos del uso de archivo hosts generalmente puestos por Microsoft al principio del documento.
Quedaba pendiente aún el asunto de la injerencia que haya tenido el invasor dentro del Registro (Registry) de Windows.
En principio, consultando cuidadosamente los archivos Prefetch que fueron creados el día y la hora en que ocurrió la infección, es posible que podamos ubicar allí los lugares dentro del Registro de Windows que fueron creados o modificados al momento de llevarse a cabo la infección, pero ello requiere entrar en detalles técnicos que nos consumirían aquí una cantidad excesiva de tiempo. No siendo posible llevar a cabo una inspección del Registro por las deficiencias de origen en el diseño del mismo, se consultó Internet para determinar las entradas del Registro que pudieran haber sido alteradas. Se encontró que de acuerdo con la más reciente información técnica disponible, bajo un ataque de Spyware Protect 2009 se crean las siguientes entradas nuevas dentro del Registro:
__HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
____\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
__HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
____\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}\InProcServer32
__HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
____\CurrentVersion\Explorer\Browser Helper Objects
__HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
____\CurrentVersion\Explorer\Browser HelperObjects
______\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}
__HKEY_CURRENT_USER\Software\AvScan
Además de esto, se crean nuevos valores dentro del Registro en las siguientes localidades:
__[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
____\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}\InProcServer32]
____(Default) = "C:\WINDOWS\system32\iehelper.dll"
______ ThreadingModel = "Apartment"
__[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
____\{C9C42510-9B21-41c1-9DCD-8382A2D07C61}]
__ __ (Default) = "BHO"
__[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
____\CurrentVersion\Explorer\Browser Helper Objects\
______{C9C42510-9B21-41c1-9DCD-8382A2D07C61}]
________(Default) = ""
__[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
____\CurrentVersion\Run]
______sysguard = "C:WINDOWS\sysguard.exe"
La última entrada en el Registro era la encargada de activar el programa invasor cada vez que se encendía la máquina, alertándole a los espías en otra parte del mundo que una de sus víctimas se acababa de conectar a Internet estando lista para ser espiada. Todas las entradas en el Registro que coincidían con las entradas anteriores fueron borradas usando el “Editor del Registro”.
Como un último paso, se abrió el navegador propio nativo de Windows, Internet Explorer versión 7.0, y a través de su opción de menú “Herramientas” se accedió a la sub-opción “Administrar complementos” desde la cual se procedió a desactivar todos los complementos add-ons que pudieran parecernos sospechosos, tal y como se señaló en la primera entrada introductoria de esta bitácora titulada “Un virus informático maligno”.
Hecho todo lo anterior, se apagó la computadora.
Una vez habiendo obtenido en otra computadora libre de infecciones la versión más actualizada del navegador predilecto usado por el propietario de la máquina así como el Messenger de Yahoo más reciente, y habiendo grabado en un disco CD-ROM dichos programas, se regresó a la computadora infectada encendiéndola nuevamente en Modo seguro, tras lo cual se procedió a la instalación de la versión más actualizada libre de infecciones del navegador, en este caso el Mozilla Firefox. Tras ser reinstalado el navegador Mozilla Firefox, se inhabilitó la ejecución tanto de cualquier tipo de código JavaScript como de la plataforma Java. En la versión 3.0 de este popular navegador, ésta inhabilitación se puede llevar a cabo yendo en la línea del menú del navegador a la opción “Herramientas” (Tools) y de allí a “Opciones...” (Options...) en la pestaña de “Contenido” (Content). Desmarcamos los casilleros “Enable JavaScript” y “Enable Java”, con lo cual impediremos que cualquier variante del virus que haya quedado en la computadora pueda tratar de ejecutar este tipo de código al usarse el navegador. Esta medida es una medida de carácter temporal mientras se purga la infección de la máquina. Una vez purgada la infección, es desable activar nuevamente estas opciones para poder ver en su totalidad muchas páginas Web que fueron diseñadas utilizando este tipo de código.
La computadora fue apagada y encendida de nuevo, pero en esta ocasión fue encendida en la opción:
__Modo seguro con funciones de red
__(Safe Mode with Networking)
Esta opción permite arrancar la computadora con un mínimo esencial de recursos y además permite intentar llevar a cabo una conexión a Internet sin las interferencias que puedan ocasionar los estragos residuales causados por la infección original, siendo el principal objetivo el lograr obtener una conexión a Internet sin la lentitud extraordinaria causada por los efectos de la infección (el que esto se puede hacer depende de la variante de la infección que se haya llevado a cabo).
Tras haber entrado en operación el sistema operativo Windows, lo primero que se hizo fue echarle un vistazo a los programas de arranque con la pestaña “Inicio” de la “Utilidad de configuración del sistema”, y sorpresivamente se encontró allí habilitada una entrada nueva:
olhrwef.exe
Consultando Internet se pudo determinar que este programa es un infector del tipo conocido como “gusano”, el cual se propaga infectando los medios portátiles de almacenamiento tales como los discos duros portátiles y los flash drives que se conectan a los puertos USB. El virus olhrwef.exe es un virus tan potente en sí, capaz de estar inhabilitando al instante la capacidad de la máquina para poder ver los archivos ocultos, que para poder removerlo fue necesario apagar la máquina y arrancarla en Modo seguro pero bajo una ventana de comandos DOS, aplicando el procedimiento descrito en otra entrada correspondiente a este trabajo titulada “Eliminación manual del virus "olhrwef.exe".”
Al haberse instalado la versión más reciente del navegador Mozilla Firefox en la máquina, bajada en otra computadora libre de infecciones, el navegador en principio puede ser utilizado para intentar abrir alguna página a Internet, y como las opciones para ejecutar tanto JavaScript como la plataforma Java están desactivadas, no hay forma en la cual los programas ejecutables remanentes de la infección puedan intentar utilizar el navegador Mozilla Firefox para establecer contacto con los intrusos.
A continuación se llevó a cabo la instalación de la versión más reciente del programa antivirus de McAfee, una empresa de reputación seria, usando un disco de instalación. Después de recabar algunos datos sobre la máquina, el programa antivirus llevó a cabo algunas limpiezas y optimizaciones para poder establecer el contacto más rápido posible con McAfee. Puesto que la conexión con la empresa no se lleva a cabo mediante un navegador sino directamente a través del programa de instalación de la empresa, las ventanas que se abren no dependen de que haya un navegador instalado o no. Sin embargo, es posible que en algún punto del proceso de instalación el programa antivirus trate de echar a andar el navegador instalado como el navegador primario en la máquina (Mozilla Firefox). Esta es la razón del por qué antes de tratar de llevar a cabo la instalación del programa antivirus se instaló un navegador Mozilla Firefox nuevo garantizado libre de infecciones.
Tras el proceso de instalación del programa antivirus y la activación de la licencia vía Internet, el programa antivirus apagó la máquina para encenderla nuevamente por cuenta propia y llevar a cabo tras esto una búsqueda de infecciones. Tras ejecutar varias acciones, el programa de McAfee proclama a la computadora libre de infecciones.
Sin embargo, durante el proceso de instalación del programa antivirus y aún con la computadora trabajando en Modo seguro con funciones de red, se observó cierta lentitud en la obtención de datos vía Internet, ciertamente no tan drástica como la lentitud que tenía anteriormente para conectar por culpa de Spyware Protect 2009, pero de cualquier manera detectable. Esto se debe a que al llevar a cabo una limpieza manual de una infección informática pueden quedar entradas en el Registro que apuntan hacia archivos ejecutables y librerías de datos que ya no existen dentro de la computadora tras la eliminación manual del virus, así como hacia archivos accesorios que ya no pueden ser puestos a trabajar por no existir en la máquina los programas principales de infección de los cuales dependen. Para remediar esta lentitud originada en buena medida por lo que podemos llamar una corrupción parcial del Registro, se recurrió a un programa completo para optimización del Registro que sólo requería la activación autorizada del proveedor, algo que no se lleva más de unos cuantos minutos (se utilizó el programa Optimize de la empresa PC Pitstop). Tras la optimización y limpieza del Registro, la máquina recuperó su velocidad de conexión normal de antaño y no se volvieron a reportar nuevos problemas.
Pese a lo elaborado que parece haber sido la eliminación que se llevó a cabo de la infección informática Spyware Protect 2009 en el ejemplo arriba mostrado, la tarea resultó menos dificíl que lo que se tendría que haber efectuado en caso de que el usuario de la computadora infectada no sólo hubiera mantenido la computadora conectada telefónicamente a Internet todo el tiempo sino que además hubiera hecho el pago requerido por la empresa criminal autorizándola a terminar de instalar en la computadora todo su repertorio de espionaje y robo de información confidencial del usuario.
