sábado, 10 de abril de 2010

El contraataque I

Antes de hablar acerca de cómo en un caso típico representativo de los nuevos infectores informáticos fue posible restablecer a la máquina infectada a su estado original, hablaremos acerca de varias herramientas que pueden resultar indispensables para montar un ataque directo en contra de la nueva generación de infectores.

Efectuada la confirmación de que tenemos en nuestras manos una computadora infectada, una de las primeras cosas que tal vez queramos hacer será percatarnos de todos los procesos y programas que son echados a andar al ser encendida la computadora. Todos los infectores que puedan ser de nuestro interés se instalan en la computadora de modo tal que al ser encendida la máquina dichos programas virales se echan a andar automáticamente como parte del proceso de encendido conocido como boot, habido el hecho de que durante el proceso de encendido de la máquina el usuario no puede hacer absolutamente nada para seleccionar o detener los programas y procesos que son echados a andar teniendo que esperar hasta que el sistema operativo haya terminado de instalarse por completo, con todo y los infectores trabajando a toda su capacidad.

Para que durante el proceso de encendido se vayan ejecutando uno o más programas maliciosos, lo más probable es que el infector haya modificado varias entradas en el Registro en los lugares que se encargan precisamente de lo que debe ser puesto en movimiento al ser encendida la máquina, de modo tal que lo lógico sería echar a andar el Editor del Registro a partir del botón de “Inicio” (Start) de Windows yendo a la opción “Ejecutar...” (Run...), escribiendo regedit y oprimiendo el botón de “Aceptar”. Pero esto presupone que el Editor del Registro está disponible. Los nuevos infectores se están encargando ya de que esto no pueda ocurrir, y para fines prácticos el Editor del Registro se debe considerar inalcanzable bajo la presencia del virus que tiene ya a la máquina bajo su control.

Para la búsqueda de programas, procesos y archivos maliciosos que son echados a andar automáticamente cada vez que empieza a funcionar una computadora así como las entradas en el Registro que habilitan esta puesta automática en marcha, una utilería gratuita que puede ser de gran valor es la que se conoce como Autoruns (Autoruns for Windows), conocida también como Autostart program viewer:





La ventaja de esta potente utilería de la empresa Sysinternals, escrita por Mark Russinovich y Bryce Cogswell con autorización legal de Microsoft para ello y que viene en dos versiones (la primera con una interfaz visual es la que estaremos utilizando, ya que la segunda es una versión para ser corrida como una ventana de comandos al estilo del viejo sistema operativo de texto en blanco y negro MS-DOS):

___autoruns.exe (654 Kb)

___autorunsc.exe (546 Kb)

es que muestra absolutamente todos los programas que están configurados para ser ejecutados al ser encendida la máquina, y muestra las entradas en el orden en el que son procesadas por Windows, incluyendo los valores en la Carpeta de Inicio (Startup folder), Run, RunOnce y otras llaves del Registro. Esta utilería vá mucho más allá de la herramienta MSConfig incluída en Windows XP. La ventaja de esta herramienta es que se sobrepone a muchas infecciones virales permitiendo la búsqueda de entradas sospechosas tales como:

___Changer (Changer.sys)

___dac970nt (prrlol.sys)

que no son de Microsoft y las cuales se puede comprobar con una búsqueda en Internet que son usadas por programas maliciosos. Desmarcando los casilleros se puede forzar la inactivación de dichas entradas, habiendo una opción para forzar el desmarcado cuando por la infección del virus se piden privilegios de Administrador para hacer el desmarcado. Es importante tener presente que para no desestabilizar el sistema cuando se borra una entrada en el Registro hay que borrar todas las referencias a dicha entrada que haya en el registro (lo cual requiere activar el Editor del Registro y en la opción “Edición” usar la sub-opción “Buscar”). De cualquier modo, si el virus invasor ha infectado un archivo legítimo de Windows, lo cual para fines prácticos podemos considerar como el reemplazo virtual del archivo de Windows con otro archivo de contenido malicioso pero con el mismo nombre, la búsqueda llevada a cabo con la utilería Autoruns no servirá de nada porque los archivos maliciosos estarán disfrazados como archivos legítimos de Windows. La utilería sólo nos sirve para identificar lo que es echado a andar automáticamente al ser encendida la máquina, no para determinar si un archivo legítimo de Windows ha sido infectado. De cualquier manera, dependiendo de la severidad de la infección lo cual a su vez depende del grado de inteligencia del redactor del código malicioso, es posible que la utilería Autoruns al ser encendida la máquina. sea suficiente para nulificar todos los procesos maliciosos que son puestos en marcha. La opción deseable del programa Autoruns está en la pestaña “Everything” que nos muestra absolutamente todas las entradas que tienen que ver con el arranque de la máquina. Si no hay entradas que se delaten a sí mismas (mostradas por Autoruns como algo ajeno a Microsoft) entonces la infección estará residente en algunos de los mismos archivos del sistema operativo Microsoft, y no habrá más remedio que instalar nuevamente el sistema operativo. (En algunos casos para ciertas máquinas, es posible reinstalar el sistema operativo a su condición original sin tener que formatear el disco duro borrando toda la información que ahí se encuentra, como en el caso de varios modelos de computadoras personales Dell y Compaq, aunque de cualquier manera los programas ejecutables que había como Word o Excel tendrán que ser reinstalados).

Además de infectar e inutilizar al programa antivirus que pueda haber estado instalado en la máquina y que en cierta forma fue castigado por el hacker por su incapacidad para detectar la nueva variante que haya infectado a la máquina, una de las primeras prioridades de la gran mayoría de los nuevos infectores informáticos es que impedirán a toda costa que la computadora infectada se pueda conectar a los sitios Web de cualquiera de las empresas fabricantes de los programas antivirales de mayor uso alrededor del mundo (McAfee, Norton, Kaspersky, MicroTrend, etc.) La computadora infectada simple y sencillamente no podrá conectarse a ningún sitio Web de ninguna empresa conocida que sea fabricante de programas antivirales, y si consideramos una lista potencial de unas cien empresas fabricantes de programas antivirales, entonces cada una de ellas formará parte de la mini-“base de datos” del infector, impidiéndose que se lleve a cabo la conexión por la vía de Internet, o peor aún, que lleve a cabo la conexión hacia un sitio impostor que sólo hará empeorar las cosas para la computadora infectada.

Si por culpa del programa infector no es posible cargar en el disco duro de la computadora un buen programa antivirus actualizado, ni es posible conectarse a un sitio Web de alguna de las principales empresas para procurar alguna ayuda o consultar sus bases de datos, la detección y la purga del invasor se antojaría una labor casi imposible. Esto, si lo queremos hacer todo desde el disco duro de la computadora, un disco duro infectado. Pero existe otra alternativa menos conocida que nos permite darle una vuelta al asunto, una herramienta extremadamente potente que queremos tener a la mano en caso de que no sea posible bajar directamente de Internet a la computadora infectada un programa para escanear la máquina en búsqueda de infectores. Esta alternativa interesante consiste en utilizar un medio que muy posiblemente fue similar al medio responsable por haber transmitido el infector a la computadora: la memoria portátil conocida como flash drive USB. En efecto, lo que haremos será correr el programa antivirus no desde el disco duro de la máquina infectada sino desde el flash drive USB conectado a uno de los puertos USB de la computadora, lo cual tal vez parecerá novedoso para muchos acostumbrados a ver el flash drive USB como un simple dispositivo de almacenamiento y no como un medio desde el cual se puedan correr programas ejecutables. No todas las empresas fabricantes de programas antivirus tienen esta opción disponible en su arsenal de herramientas, ni siquiera entre los productos que venden al público. Pero hay una de ellas que sí tiene algo como esto disponible al público internauta del mundo entero. Se trata de una empresa basada en Austria, la empresa Emsisoft. Y lo que más llamará la atención a muchos es que este programa se puede descargar gratuitamente de la red del sitio Web de dicha empresa. Se trata del programa gratuito conocido como A-squared que se puede descargar de la conocida empresa cnet.com. La empresa vende varios productos, pero la variante que nos interesa está bajo un rubro identificado como a-squared Emergency USB stick, pudiéndose descargar como un archivo .zip del siguiente domicilio:

http://download1.emsisoft.com/a2usb.zip

La descripción del programa está disponible en el domicilio:

http://www.emsisoft.com/en/software/stick

Pese a que este programa excepcional es distribuído en forma gratuita por la empresa, ello no nos debe llevar a suponer que se trata de una versión reducida o simplificada que no esté a la altura de la tarea que le queremos encomendar. Se trata de un producto extremadamente potente que no le pide nada a los mejores programas antivirales fabricados por las empresas McAfee y Norton-Symantec (las cuales no tienen nada disponible que se pueda correr sobre una máquina infectada desde un flash drive USB), superándolos en varios casos por amplio margen.

Para usar el programa A-squared, básicamente lo que tenemos que hacer es descargar el archivo a2usb.zip a otra máquina que sabemos que está totalmente libre de infecciones. Una vez que lo tenemos, lo desempacamos copiando los archivos desempacados al flash drive USB de preferencia nuevo (lo cual nos garantiza que estará libre de infecciones) y de un tamaño razonable (digamos unos 4 Gigabytes, cuyo costo es relativamente modesto). Pero esto es tan sólo el primer paso. Antes de llevar el flash drive USB a la computadora infectada, en la misma computadora libre de infecciones en la cual bajamos el programa A-squared tenemos que echar a andar el programa ejecutable como si fueramos a escanear la máquina (hay que tener paciencia en este paso, ya que es importante tomar en cuenta que no se trata de un programa ejecutable corriendo desde el disco duro de la máquina, sino de un programa de uso pesado que está corriendo desde un medio portátil externo, lo cual puede llevar varios minutos sin que aparentemente esté ocurriendo absolutamente nada, aunque si el flash drive USB está equipado con un foquito LED que indique actividad en el mismo entonces se podrá obtener una confirmación visual de que algo está en proceso de estar siendo echado a andar desde el flash drive USB). Tras aparecer por vez primera la ventana principal del programa:





se invita al usuario a establecer la conexión entre su máquina y el servidor Web de la empresa Emsisoft al preguntarle si desea actualizar la base de datos del programa antiviral A-squared. Tras aceptar el usuario el ofrecimiento, la empresa comenzará a descargar en el mismo flash drive USB las más recientes actualizaciones que incluyen las variantes que han sido identificadas como nuevos infectores alrededor del mundo, lo cual es importante ya que diariamente siguen apareciendo nuevas variantes explotando todas las vulnerabilidades del sistema operativo Windows de Microsoft. Actualizada la base de datos, esto nos permite llevar el flash drive USB hacia la computadora infectada y correr el programa antivirus A-squared desde el mismo stick USB (se recomienda utilizar la opción “Smart Scan” del programa). La única manera en la cual un virus informático instalado en el disco duro de la máquina infectada podría defenderse de este tipo de búsqueda sería cerrando la posibilidad de conexión con todos los flash drives USB, pero esto es algo que el infector no puede hacer ya que en caso de hacerlo la infección viral perdería su potencial de infección al perder precisamente la flexibilidad de poder copiarse a uno de sus principales medios de transmisión y propagación. En pocas palabras, con este tipo de estrategia tenemos acorralados entre la espada y la pared a la mayoría de los infectores que se hayan enraizado en la máquina.

El programa antiviral A-squared es un programa extraordinariamente eficiente que trabajando desde el flash drive USB llevará a cabo una búsqueda exhaustiva (dependiendo de la profunidad del escaneo que hayamos seleccionado) en los contenidos de las carpetas puestas por el sistema operativo Windows en la máquina. Pero como no está trabajando desde el entorno ultra-rápido del disco duro, el proceso de diagnóstico y análisis puede ser una labor que se llevará varias horas, y dependiendo de la cantidad de memoria RAM en la máquina y la velocidad del procesador podemos estar hablando de una tarea que empezará efectuándose durante la noche y estará completada al día siguiente en el amanecer (en una máquina con unos 128 Mb de RAM y un procesador de unos 1.4 GHz). Tras el escaneo, el programa dará una lista completa de los archivos infectores que fueron encontrados en la máquina, y dará una opción para que puedan ser puestos en cuarentena o borrados. Es preferible ponerlos en cuarentena, ya que si son borrados no habrá forma alguna de recuperarlos para un análisis posterior.

Si el grado de infección es profundo y varios archivos del sistema operativo Windows están dañados más allá del punto de restauración o reparación, el usuario tal vez tratará de formatear su disco duro para instalar nuevamente el sistema operativo, pero la perspectiva de tener que perder durante el proceso de formateo todos los documentos que tenía almacenados en el disco duro tal vez le parezca sumamente desagradable, como igualmente la podrá parecer desagradable la idea de copiar los documentos a un disco duro externo pasándole la infección a ese disco duro externo. Si se quiere borrar por completo el sistema operativo Windows que se tenía instalado en la máquina pero sin perder los documentos que había en el disco duro y sin correr el riesgo de pasarlo todo a un disco duro externo que podrá ser infectado, entonces una alternativa a ser explorada es el uso de otra herramienta extremadamente potente, Partition Commander:





El programa Partition Commander no es un programa gratuito. Tiene un costo de aproximadamente unos 50 dólares. Pero considerando lo que puede hacer este programa, estamos hablando aquí de una inversión que vale la pena considerar hacer. Por principio de cuentas, este programa nos permite llevar a cabo la creación de una nueva partición en el disco duro sin perder datos. Pero esto no es lo único que es capaz de hacer. El programa nos permite mover archivos y carpetas y documentos de una partición a otra. Esto nos permite, en una máquina infectada en grado severo para la cual no queda más remedio que el formateo del disco duro y la reinstalación completa del sistema operativo, crear una nueva partición en el disco duro (lo cual supone que hay espacio suficiente para crear una partición nueva de tamaño razonable) y tras esto copiar de partición a partición todos los documentos que queramos rescatar del proceso de formateo. En efecto, hacemos un respaldo del disco duro dentro del mismo disco duro, rescatando únicamente aquello que queramos rescatar. Supóngase que originalmente el disco duro infectado es un disco duro de 160 Gb identificado por el sistema operativo como el elemento C:\, y que en ese disco duro se están ocupando entre sistema operativo Windows y carpetas y archivos del usuario un total de unos 30 Gb. Entonces podemos particionar el disco duro en dos mitades, de modo tal que tendremos dos elementos que serán designados como como C:\ y como D:\. En realidad, no tenemos dos discos duros en la máquina, tenemos uno solo, pero para fines prácticos al disco duro los podremos considerar como dos discos duros virtuales. Creada la misma partición procedemos a formatearla (por ejemplo, a FAT32, suponiendo que ese sea el tipo de formateo inicial del disco duro), y una vez formateada la nueva partición podemos proceder a copiar carpetas y archivos de una partición (la partición infectada) a la partición de reciente creación (libre de infecciones). Se supone que para llegar a este punto ya corrimos sobre el disco duro el programa A-squared y no perderemos nuestro tiempo copiando archivos que ya están infectados. Habiendo creado el respaldo de lo que queremos respaldar, el siguiente paso consiste en borrar completamente el sistema operativo Windows de la partición infectada (C:\), para lo cual basta con formatear dicha partición. Una vez formateada la partición, apagamos la computadora y ponemos el disco CD original de instalación del sistema operativo Windows en el drive de la computadora para poder instalar el sistema operativo en la partición que fue limpiada en su totalidad, para lo cual suponemos que la partición C:\ seguirá siendo la partición activa. Y puesto que la instalación del sistema operativo Windows se llevará a cabo en la partición activa, todo lo que hayamos copiado a la otra partición conocida como partición lógica permanecerá intacto. Una vez que hemos hayamos instalado al sistema operativo Windows en la partición activa, podemos copiar nuevamente las carpetas y archivos de documentos de la partición lógica D:\ a la partición lógica C:\ para tenerlo todo tal y como lo teníamos antes.

Los lectores que no hayan tenido oportunidad de probar un programa como Partition Commander pero que ya hayan utilizado otros programas de partición del disco duro tales como Partition Magic tal vez se sientan algo incómodos con la idea de manejar un programa de particionado y formateo instalado en el mismo disco duro que ya está infectado y que por lo tanto también es susceptible de ser infectado e inhabilitado por los infectores informáticos, con una sorpresa desagradable esperándole al final de todo esto. Esto se debe al hecho de que los programas de partición con los cuales están familiarizados tienen que ser instalados primero desde el CD de instalación hacia el disco duro infectado, tras lo cual tienen que ser corridos desde el disco duro infectado. Y esto no incluye la idea también incómoda de que una vez que se haya formateado la partición en la cual se encontraba el sistema operativo Windows el programa de partición habrá dejado de existir en el disco duro y tampoco podrá correr desde el mismo.

Sin embargo, aquí es donde entra en acción otra capacidad extraordinariamente potente del programa Partition Commander que lo hace valer su peso en oro, el hecho de que no sólo se puede correr desde el sistema operativo Windows al ser instalado mediante Windows en el disco duro como otro programa ejecutable; también se puede correr en frío desde el momento en que se enciende la máquina sin tener que estar instalado previamente en el disco duro. Para ello, basta con cambiar el orden de búsqueda en el setup del encendido de la máquina (lo cual tal vez no sea necesario) para que en vez de que se busque la secuencia de boot primero en el disco duro se busque primero en el CD de la máquina (esto se puede seleccionar en la mayoría de las máquinas presionando la tecla F1 antes de que el programa Windows empiece a cargar, justo cuando se ha encendido la máquina). Y basta con tener puesto el CD de Partition Commander en el lector de CD de la máquina para que, al encenderla, en vez de que se eche a andar el boot del disco duro se eche a andar el boot del CD. Con esto, aparecerán unas ventanas propias de Partition Commander que llevarán al usuario hacia las operaciones esenciales que se pueden llevar a cabo sobre el disco duro con Partition Commander, las cuales posiblemente se tendrán que llevar a cabo manualmente desde el teclado utilizando la tecla F9 y la tecla de tab para ir cambiando de opciones. Aquí es muy importante no confundirnos. Al arrancar a Partition Commander de esta manera, desde el lector de CD, aunque la interfaz gráfica podrá dar la sensación de que estamos trabajando en alguna versión de Windows, no habrá absolutamente nada de Windows en lo que estamos haciendo, porque el disco duro no habrá tenido tiempo de cargar en la memoria RAM absolutamente nada de lo que corresponde a Windows. De hecho, lo que se estará corriendo es una opción que el usuario deberá de haber escogido para empezar a trabajar con Partition Commander desde el CD, la opción VCOM Linux. Este posiblemente sea el primer contacto del usuario con otro sistema operativo diferente de Windows que también puede correr en su misma máquina, y le permitirá descubrir que el sistema operativo Windows de Microsoft no es la única manera de poder trabajar en una computadora.

Los nuevos infectores están apareciendo con variantes tales que no es inusual que muchos de ellos no sean reconocidos aún por los programas antivirus pese al hecho de estar siendo constantemente actualizados, y esta es la principal queja de muchos usuarios de programas antivirus, “mi programa antivirus no me reconoce el virus X”. De cualquier manera, es necesario reconocer que en muchos otros casos las infecciones ocurren porque los usuarios por ahorrarse algún dinero no tienen absolutamente ningún tipo de programa antivirus de tipo comercial (como McAfee y Norton) instalado en sus máquinas. Una buena noticia para estos usuarios tacaños es que, si tienen instalado en su máquina un sistema operativo Windows que sea una copia genuina de Microsoft y no una copia pirata, la misma empresa Microsoft ha puesto a disponibilidad de sus usuarios un programa antivirus completo en forma gratuito, el programa Microsoft Security Essentials., el cual se puede descargar en forma gratuita desde Internet. Una vez que la máquina tiene instalado el programa Microsoft Security Essentials, en principio no es necesario instalar ningún otro tipo de programa antivirus, y el Centro de Seguridad de Windows de la máquina (accesible desde el Panel de Control) no dará mensaje de alerta alguna al usuario al detectarlo como un programa antivirus completo. Desafortunadamente, por ser Microsoft Security Essentials un programa de una empresa que había estado dedicada única y exclusivamente al diseño y el mantenimiento de un sistema operativo, dicho programa refleja la falta de experiencia en la optimización de recursos, y no se recomienda la instalación de dicho programa en máquinas con una memoria RAM de 128 Mb porque en dichas máquinas puede producir una lentitud intolerable. Inclusive una memoria RAM de 256 Mb puede ser insuficiente y la máquina puede mostrar un deterioro notable en la velocidad de respuesta al estar trabajando el programa antivirus de Microsoft. Pero si el usuario tiene una memoria RAM de 512 Mb y tiene una copia legítima de Windows instalada en su máquina, tal vez quiera echarle un vistazo a esta opción gratuita ofrecida por Microsoft.

¿Y por qué razón habría de ofrecer Microsoft su propia versión de un programa gratuito antivirus? ¿Acaso desea hacerle la competencia a otras empresas como McAfee y Norton sin ganar un solo centavo en la introducción de su alternativa? Pudiera muy bien ser que en el futuro Microsoft decida empezar a cobrarle a los usuarios de Microsoft Security Essentials por la actualización de la base de datos de los virus que ha identificado. Pero otra razón importante es que los nuevos infectores han estado poniendo de rodillas una y otra vez a Windows. Si la ferocidad de los nuevos ataques continúa sin que Microsoft haga algo al respecto, ello podría ser causa de que una cantidad creciente de usuarios enardecidos decida empezar a migrar hacia otro sistema operativo sin tantas vulnerabilidades y tantas deficiencias como Windows, un sistema operativo como Linux. Y esta es una posibilidad que sí le quita el sueño a los ejecutivos de Microsoft, una posibilidad por la cual una empresa que no está acostumbrada a dar nada gratuitamente decida hacerlo.

Además de las herramientas ya mencionadas, puede haber otros recursos que se tendrán que ir bajando de la red Internet en otra computadora libre de infecciones informáticas a medida que se avanza en la remoción de un ataque viral informático en la camino hacia la decisión final sobre si será necesario formatear o no el disco duro. Todo depende de los infectores que se vayan encontrando durante el proceso de diagnóstico dentro de una máquina infectada. Un ejemplo puede ser la presencia del virus tipo “gusano” precursor de los infectores de nueva generación que se propaga a través del archivo jwgkvsq.vmx, conocido en el argot técnico como Conficker, del cual ya se mencionó algo en la entrada “La nueva generación”. Muchos programas antivirus son incapaces de detectar la presencia de este intruso, y aquellos que son capaces de detectarlo son incapaces de removerlo de la máquina. Se propaga tanto a través de Internet (al visitar sitios inseguros) como a través de las memorias portátiles flash drive USB que son conectadas a una computadora. Con el solo hecho de conectar una memoria flash drive USB infectada con Conficker a una computadora el virus se propagará hacia la máquina misma, y una vez infectada la máquina ésta infectará a todos los flash drive USB que sean conectados a cualquiera de los puertos USB de la máquina. El virus Conficker explota una vulnerabilidad del sistema operativo Windows documentada en el Boletín de Seguridad de Microsoft MS08-067:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

y aunque Microsoft distribuye una actualización de seguridad (parche) para tapar la vulnerabilidad esto no será de mucha ayuda para una computadora que ya ha sido infectada. El primer síntoma obvio de que una computadora ha sido infectada por una variante del virus-gusano Conficker es la incapacidad para poder ver los archivos ocultos. El Conficker original depende de esta capacidad de obstrucción para poder instalarse en un flash drive USB a través de dos archivos que son depositados en el dispositivo cuando éste es conectado a la máquina: un archivo (visible) autorun.inf con un tamaño aproximado de 57.9 Kb, y una carpeta (oculta) titulada RECYCLER que es la que contiene precisamente el archivo infector jwgkvsq.vmx con un tamaño típico de unos 153 Kb. Aunque la extensión .vmx no corresponde a un archivo típico del sistema operativo Windows en ninguna de sus modalidades, ni corresponde a un archivo que sea utilizado por la gran mayoría de programas ejecutables como Adobe Acrobat Reader, Yahoo Messenger, Mozilla Firefox, etc., esta extensión de archivo es utilizada por la empresa VMware como parte de un sistema de virtualización por software (un sistema virtual por software es un programa que simula un sistema físico -un ordenador, un hardware- con unas características de hardware determinadas; cuando se ejecuta el programa -simulador- proporciona un ambiente de ejecución similar a todos los efectos a un ordenador físico -excepto en el puro acceso físico al hardware simulado-, con CPU, BIOS, tarjeta gráfica, memoria RAM, tarjeta de red, sistema de sonido, conexión USB, disco duro, etc.) Sin embargo, bajo el acoso de una infección informática, esta extensión de archivo al igual que muchas otras deben ser consideradas como impostores, ya que no es problema alguno para un infector el cambiar la extensión de archivo de cualquiera de sus programas ejecutables .exe a otra extensión de archivo, de modo tal que un archivo sumamente malicioso como olhrwef.exe puede ser escondido bajo un nombre de archivo aparentemente inocuo como Googleonline.txt, para ser cambiado con la misma facilidad en cualquier momento a su nombre real con la extensión .exe que le permite ejecutarse en la máquina, un cambio que puede ser efectuado en ambas direcciones por un programa pequeño que no requiere ni siquiera de 1 Kb de tamaño. Lo importante a tomar en cuenta aquí es que un programa infector ejecutable con un tamaño de unos 150 Kb ó 200 Kb es capaz de hacer muchas más cosas de las que el usuario pueda sospechar, inclusive crear la ilusión de que la infección principal ha sido removida cuando sigue escondida dentro de la computadora bajo un nombre ficticio.

En la infección de una computadora sana al conectarle un dispositivo portátil USB contaminado surgen dos palabras clave: Autorun y Autoplay. Microsoft introdujo la especificación “Autorun” por vez primera con Windows 95, y con la introducción de Windows XP la empresa Microsoft introdujo la especificación “Autoplay”. Microsoft agrega que Autoplay no debe ser confundida con Autorun, ya que Autoplay es la especificación que permite identificar el contenido de un medio como imágenes, archivos musicales y de video (de acuerdo a la extensión en el nombre del archivo) apareándolo con el programa que debe ser utilizado para lanzarlo, haciéndole así la vida más fácil a los usuarios que no están familiarizados con los programas que deben ser utilizados para accesar los archivos de acuerdo a su contenido (por ejemplo, abrir un archivo musical tipo .mp3 requiere de cierto programa como Windows Media Player pero abrir un documento tipo .doc requiere del uso de otro programa como Microsoft Word), mientras que Autorun es lo que le permitió a Windows 95 echar a andar algo automáticamente (generalmente, utilerías de instalación automática de algún programa como Adobe Photoshop en la computadora, o juegos) lo cual se logra recurriendo a un archivo titulado autorun.inf instalado en el directorio raíz del disco compacto. En las versiones posteriores de Windows, Autorun conservó su misma función pero con el advenimiento de los dispositivos portáticles USB sus alcances fueron extendidos para activarse automáticamente con la conexión de los mismos a cualquier computadora, abriéndole la puerta a los peores infectores imaginables. En lo que a nosotros nos concierne, es precisamente lo que tiene que ver con la especificación Autorun lo que representa el mayor peligro. La especificación Autoplay, aunque utiliza para su ejecución una parte pequeña del código de Autorun, no es lo que nos deba preocupar. Esto significa que en el manejo de infecciones transmitidas a través de los dispositivos portátiles USB todo lo hagamos desde el Registro para remediar o prevenir una infección tendrá que ver con la función Autorun, no con la función Autoplay, aunque ambos términos se utilicen como sinónimos por gente que no está muy familiarizada con estas cosas.

Cuando la capacidad para poder ver los archivos y carpetas ocultos es desactivada por una infección del tipo Conficker, el usuario no se podrá dar cuenta de la presencia del gusano viendo simplemente los contenidos del flash drive USB, a menos de que el tamaño del archivo autorun.inf le despierte sospechas (los dispositivos flash drive USB nuevos recién desempacados de su contenedor rara vez contienen carpeta o archivo alguno dentro de ellos, y si ya vienen con un archivo autorun.inf incluído como en el caso de los dispositivos USB de la empresa Sandisk la mayoría de estos archivos autorun.inf tienen un tamaño de apenas 1 Kb o hasta 3 Kb a lo máximo). Este infector tiene su propia base de datos que le impedirá al usuario de la máquina infectada el poder conectarse a la gran mayoría de los sitios Web de las empresas antivirus más conocidas o a sitios como microsoft.com y yahoo.com cuyos motores de búsqueda podrían ser utilizados por el usuario para procurar ayuda. Otra característica de este infector es que le impedirá al usuario el poder entrar al “Modo seguro” en su máquina con la opresión de la tecla F8 al empezar el arranque del sistema operativo Windows. De cualquier modo, basta con conectar un flash drive USB “limpio”, y con la opción “Mostrar todos los archivos y carpetas ocultos” activada y la opción “Ocultar archivos protegidos del sistema operativo desactivada” (en caso de que esto último aún sea posible) y revisar el flash drive USB después de haberlo conectado a la máquina. Si aparecen el archivo autorun.inf y una carpeta RECYCLER conteniendo al archivo jwgkvsq.vmx entonces no debe haber duda alguna de que la computadora ya está infectada. La forma más directa de eliminar este tipo de infección de una manera automática consiste en bajar de Internet (en una computador no-infectada ya que una computadora infectada posiblemente no permitirá acceso al sitio) de la empresa Symantec el programa ejecutable FixDownadup.exe:

http://www.symantec.com/content/en/us/
_global/removal_tool/threat_writeups/D.exe

y correr el programa. Si la infección no es muy profunda y no ha tenido oportunidad de enraizarse, esto debe ser suficiente para remover el virus de la computadora. Esto lo sabremos al confirmar que la capacidad para poder ver los archivos ocultos está nuevamente a nuestra disposición en las “Herramientas” de la línea del Menú del Explorer de Windows y al confirmarse también que nos podemos conectar vía Internet a los sitios antivirus más conocidos y a los sitios a los que no nos podíamos conectar previamente.. Sin embargo, si el virus fue enviado junto con otros infectores como parte de una “bomba”, es posible que ni aún así habremos restablecido a la máquina a su funcionamiento normal y tendremos que seguir buscando la presencia de otros infectores. Una vez que el programa ha eliminado la infección, se vuelve necesario bajar de Microsoft (en una computadora no-infectada) el parche que corrige la vulnerabilidad MS08-067. Si la máquina está trabajando con un sistema operativo Windows en Español, al bajar el parche de Microsoft hágase el cambio de idioma de Inglés al Español ya que el parche en idioma Inglés no funcionará en una máquina cuyo sistema operativo Windows esté en Español. Los parches que nos interesan ya sea en la versión en Inglés o en la versión en Español son:

Security Update WindowsXP-KB958644-x86-ENU.exe

Security Update WindowsXP-KB958644-x86-ESN.exe

Suponiendo que hemos tenido éxito en la remoción de un virus del tipo Conficker y que no hay otros infectores informáticos presentes, esto nos deja con el problema de la remoción del infector de los dispositivos flash drive USB que hayan sido conectados a la máquina infectada. Para ello, apagamos la computadora y la volvemos a encender pero para entrar esta vez en el “Modo seguro” con la opresión de la tecla F8 al empezar a cargar el sistema operativo Windows. Una vez que hemos seleccionado la opción para entrar a la máquina dentro del “Modo seguro” podemos conectar con toda confianza a la máquina cualquier dispositivo flash drive USB (posiblemente infectado) en virtud del siguiente hecho: Ningún archivo del tipo autorun.inf es capaz de correr en forma automática al ser conectado a una computadora siempre y cuando la computadora esté operando en Modo Seguro. Una vez conectado el dispositivo, activamos desde el Explorer de Windows la capacidad para poder ver los archivos ocultos en el dispositivo flash drive USB, y si vemos la presencia del archivo autorun.inf (usualmente puesto por los infectores en el directorio raíz del dispositivo) así como de la carpeta oculta RECYCLER entonces borramos ambos elementos del dispositivo. Si esto no es posible, entonces descargamos el archivo MoSo Force Delete del siguiente enlace:

http://www.moatsoft.com/MosoForceDelete.zip

y tras desempacar el archivo corremos el programa. En previsión del caso de que el virus se haya dado de alta en el Registro, se vuelve necesario abrir el Editor del Registro y buscar el nombre de archivo jwgkvsq.vmx, borrando todas las entradas en las cuales lo encontremos dado de alta en el Registro.

Puesto que uno de los métodos predilectos de propagación de la nueva generación de virus informáticos es a través de los dispositivos portátiles USB justo al momento en que un dispositivo infectado es conectado a una computadora, o una vez ya conectado el dispositivo se pone a andar automáticamente el programa ejecutor del virus al seleccionarse en la ventana del Explorer de Windows el ícono que corresponde al dispositivo portátil, la pregunta natural es: ¿Hay alguna otra manera de impedir la ejecución del virus que pueda estar presente como archivo oculto en un dispositivo infectado?

Existe, desde luego, una manera para inhabilitar la ejecución automática de un virus informático que haya infectado una memoria portátil flash drive USB. Pero ésta requiere que la computadora tenga instalado el sistema operativo Windows XP Professional, el cual por su alto costo no está disponible en la gran mayoría de las computadoras caseras que se tienen que conformar con el más barato sistema operativo Windows XP Home Edition (edición casera). El procedimiento consiste en ir desde el botón de Inicio a “Ejecutar...”, escribir gpedit.msc, y seguir la ruta:

Computer Configuration → Administrative Templates → System

yendo a la opción “Turn off Autoplay” y seleccionando el botón “Enabled” así como la línea “Turn off Autoplay on” coligada a la opción “All drives”. Pero como ya se dijo, esta indispensabilísima alternativa de protección sólo está disponible en las máquinas que tienen instalado el sistema operativo Windows XP Professional, lo cual fue una irresponsabilidad imperdonable de Microsoft si lo hizo con la intención de obligar a sus usuarios a efectuar el pago para el reemplazo de su edición casera de Windows por la edición profesional. Los únicos contentos con esta falla de Microsoft son las empresas antivirus al haber dejado Microsoft a la gran mayoría de sus usuarios a merced de las nuevas generaciones de infectores.

De cualquier manera, existe otra forma de inhabilitar la función “Autoplay” en el sistema operativo Windows XP (edición casera) pese a que Microsoft irresponsablemente no quiso darle esta opción a sus usuarios caseros: metiéndole la mano al Registro, al igual que como lo hacen los mismos vándalos informáticos. Para ello, de acuerdo con lo que nos indica el documento Microsoft Article ID: 967715 (How to disable the Autorun functionality in Windows) accesible en el siguiente enlace:

http://support.microsoft.com/kb/967715

abrimos el Editor del Registro y nos vamos a la siguiente entrada:

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer

En dicha entrada en el Registro el usuario encontrará la línea titulada:

NoDriveTypeAutoRun

Localizada esta entrada, se vuelve necesario cambiar su valor a FF hexadecimal:





Hecho esto se reinicia la computadora, lo cual bastará para que cada vez que se conecte a la computadora una memoria portatil flash drive USB que pueda estar infectada con un virus no se lleve a cabo ninguna autoejecución del virus. Si lo deseamos, podemos automatizar el procedimiento escribiendo lo siguiente con el Bloc de Notas (las dos líneas destacadas en color azul que empiezan con [HKEY_CURRENT_USER en la primera línea y terminan con \Explorer] en la segunda línea deben ir ambas en un mismo renglón y no en dos):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

y guardando el archivo con cualquier nombre que utilice la extensión de archivo “.reg” (por ejemplo, DetenerAutorun.reg).

Aún otra alternativa para vacunar a las computadoras en contra de infecciones virales que se propagan a través de unidades USB que posiblemente será mucho más atractiva para quienes no tengan mucha experiencia técnica y tal vez se sientan incómodos con la idea de andarle metiendo la mano al Registro consiste en bajar una herramienta gratuita de Panda Software titulada Panda USB Vaccine, promocionada sin costo alguno por la empresa como una solución gratuita al antimalware que se propaga a través de unidades USB:





Esta vacuna permite llevar a cabo una doble protección preventiva, tanto en la misma computadora al deshabilitar la funcionalidad AutoRun (a través del Registro, como ya hemos visto), así como de unidades y llaveros USB individuales, o sea:

1) Vacuna de equipos que permite “vacunar” los equipos para impedir que ningún archivo “Autorun” se ejecute independientemente de si el dispositivo en el que se encuentra (unidad USB, CD, disco duro, etc.) está infectado o no.

2) Vacuna de dispositivos USB que permite “vacunar” dispositivos extraíbles USB de manera individual, de tal modo que ningún archivo “Autorun” incluido en los mismos pueda ser una fuente de infección, ya que la herramienta los deshabilita, evitando así que puedan ser leídos, creados, modificados o suprimidos por un código malicioso.

El Panda USB Vaccine es una herramienta muy útil al no existir (en las versiones caseras de Windows XP) una manera sencilla de deshabilitar la opción de “Autorun” en Windows. Con esta herramienta, los usuarios pueden hacerlo por cuenta propia de manera sencilla, logrando así un alto grado de seguridad respecto a las infecciones procedentes de dispositivos extraíbles. En rigor de verdad, después del enorme daño causado a millares y millares de computadoras alrededor del mundo por las enormes deficiencias en sus sistemas operativos, Microsoft estaba más que obligada a proporcionar gratuitamente a sus usuarios registrados una vacuna como la vacuna que proporciona Panda Software, en vez de estar enviando decenas de actualizaciones que terminan resultando inútiles al ir descubriendo los vándalos informáticos nuevos agujeros en los sistemas operativos de Microsoft. Y ningún sistema operativo debería ser tan malo como para terminar obligando a la gran mayoría de sus usuarios a comprar paquetes antivirus cada vez más costosos con el único fin de paliar las enormes debilidades y vulnerabilidades del producto.

Para quienes no resulte muy atractiva la idea de inhabilitar -alterando el Registro- la ejecución automática de dispositivos, por ejemplo aquellos que esperan que al momento de meter un disco musical CD o un disco de video DVD en el lector entre en acción automáticamente poniendo en marcha el Windows Media Player o cualquier otro programa que tenga instalado para tales fines, otra opción muy popular para detectar e impedir virales provenientes de dispositivos portátiles USB que puedan contener un archivo autorun.inf contaminado, la cual también es gratuita, es la utilería Autorun Eater elaborada por “Old McDonald's Farm”, con un peso aproximado de unos 1.3 Mb, la cual entra en acción al ser conectado el dispositivo portátil a uno de los puertos USB de la computadora. Al detectarse un archivo de auto ejecución sospechoso, Autorun Eater impide que se lleve a cabo la ejecución del mismo alertando al usuario de la presencia de un archivo de carácter dudoso, pero además le permite leer los contenidos del archivo sospechoso dándole al usuario la opción de detener la ejecución automática del archivo sospechoso removiéndolo permanentemente o ignorar la alerta, a través de una ventana como la siguiente (el título de la ventana es un número aleatorio, un truco usado para confundir a los infectores informáticos que de otro modo podrían inhabilitar la acción de la utilería como acostumbran hacerlo cuando se usa un nombre convencional):





Con un poco de práctica en la lectura del contenido del archivo autorun.inf, el usuario de esta utilería podrá aprender a diferenciar entre un archivo de autoejecución legítima y un archivo infector el cual tenderá a ser algo más voluminoso por echar a andar otros archivos maliciosos previamente instalados ya sea en la computadora o en el dispositivo portátil USB. Podemos hacer que Autorun Eater sea lanzado automáticamente cada vez que se enciende la computadora y que esté monitoreando todo el tiempo cualquier intento de lanzar un archivo autorun.inf sospechoso haciendo click en la opción ‘Add Billy To System Startup’ (Billy es el nombre de la famosa cabra que tienen en la granja “Old McDonald's Farm”). Del mismo modo, podemos detener la ejecución automática de Autorun Eater cada vez que se enciende la computadora haciendo click en la opción ‘Remove Billy From System Startup’. La decisión es nuestra.

Aún otra utilería similar a Autorun Eater pero algo menos popular es USB Firewall, cuya intefaz gráfica es la siguiente cuando se ha detectado actividad sospechoso tras haberse conectado un dispositivo portátil a uno de los puertos USB:





Como medida precautoria y para evitar descargar impostores de estas utilerías que terminan siendo infectores en grado mayor, siempre que se bajen estas utilerías de la Web es recomendable hacerlo a través de un sitio reconocido y recomendable como CNET:

http://www.download.com

que rutinariamente checa las utilerías para determinar si los programas gratuitos que provienen de cualquier sitio Web son la cosa original o un impostor.

Antes de inhabilitar a la función “Autorun” por el medio que sea, es importante abrir el Editor del Registro para poder leer y apuntar el valor actual al cual está fijada la entrada “No Drive Type Auto Run” porque en caso de no hacerlo no estaremos en condiciones de poder activar nuevamente a la función “Autorun” tal y como estaba especificada inicialmente en caso de que por alguna razón queramos activarla de nuevo (y la razón principal para activarla de nuevo sería permitir la instalación automática de programas tales como Adobe Photoshop que vengan en un disco compacto CD, ya que esperamos que al introducir el disco CD en el lector se active automáticamente la auto ejecución del programa de instalación). En el siguiente Registro:





podemos ver que el valor de “NoDriveTypeAutoRun” es 0x00000091 (145), el cual podrá variar de máquina a máquina. De acuerdo con el documento Microsoft arriba citado, las claves numéricas hexadecimales posibles en “No Drive Type Auto Run” tienen el siguiente efecto:

__0x1 -- Inhabilita AutoRun en dispositivos de tipo desconocido
__0x4 -- Inhabilita AutoRun en dispositivos removibles
__0x8 -- Inhabilita AutoRun en dispositivos fijos
__0x10 -- Inhabilita AutoRun en dispositivos de red
__0x20 -- Inhabilita AutoRun en dispositivos de discos compactos
__0x40 -- Inhabilita AutoRun en discos RAM
__0x80 -- Inhabilita AutoRun en dispositivos de tipo desconocido
__0xFF -- Inhabilita AutoRun en todo tipo de dispositivos

La inhabilitación de la función “Autorun” en Windows sirve para vacunarse totalmente en contra de la nueva generación de infecciones informáticas transmitidas de computadora a computadora por medio de los dispositivos USB, pero no nos sirve para una infección descargada a través de Internet cuando visitamos un sitio infectado. Es para esto que se utilizan antivirus que son capaces de detectar una infección en proceso la mayoría de las veces, pero no todas.

Desafortunadamente, subsiste la posibilidad de que la modificación del valor de la entrada del Registro No Drive Type Autorun no sea suficiente para impedir la auto ejecución automática del archivo autorun.inf. Todo depende de las actualizaciones de Microsoft para Windows que se hayan recibido vía Internet (específicamente, las actualizaciones KB953252 y KB967715, las cuales ofrecen esencialmente las mismas actualizaciones, sólo variando los canales de entrega ya que la actualización KB953252 se publicó sólo para el Centro de Seguridad, mientras que la KB967715 se publicó para Windows Update, para Actualizaciones automáticas y para el Centro de Seguridad; aunque para evitar que se duplique la misma información Microsoft remite a la actualización KB967715 que cuenta con la información más reciente sobre dichas actualizaciones). La información relevante en estas actualizaciones nos dirige hacia otra entrada en el Registro que también debe ser inspeccionada, en caso de que ya exista en virtud de las actualizaciones recibidas, la entrada:

HonorAutorunSetting

Esta entrada tiene como objetivo que el que la especificación dada para la función “Autorun” sea respetada. Se le puede encontrar en cualquiera de las siguientes dos entradas del Registro (si el usuario tiene desactivadas las actualizaciones de Windows, posiblemente aún no aparezca en su Registro):

HKLM\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer


HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer

(Se han usado arriba las abreviaturas:

HKLM = HKEY_LOCAL_MACHINE

HKCU = HKEY_CURRENT_USER

como se acostumbra hacerlo en muchos textos técnicos.)

El valor de HonorAutorunSetting tiene que estar fijado en 1. Si no lo está (posiblemente por acción de alguna infección informática) debe ser puesto a 1, ya que un valor de 0 puede resultar en un comportamiento inseguro.

Del mismo modo en que se puede “vacunar” una computadora para impedir que pueda ser infectada con un dispositivo portátil USB infectado, también se puede tratar de “vacunar” al mismo dispositivo USB para que el principal caballo de Troya de la infección, autorun.inf, no se instale en el dispositivo, o si se logra instalar, pueda ser reconocido. Esto requiere recurrir a un simple truco. Generalmente hablando, una gran cantidad de infectores informáticos explota el hecho de que el archivo autorun.inf no es un archivo que generalmente aparezca en los dispositivos portátiles USB nuevos, de forma tal que simplemente instala en el dispositivo USB un archivo que no había. Sin embargo, si el dispositivo USB ya contiene un archivo autorun.inf, en algunos casos (dependiendo de la sofisticación del infector) la computadora contaminada no instalará su propio autorun.inf infectado. Y en esto consiste el “truco” para engañar al infector. Creamos o tomamos una copia de cualquier otro tipo de archivo “seguro” para ese propósito del cual no tengamos duda alguna, por ejemplo un archivo de texto:

Manual.txt

que no contenga texto alguno (con un tamaño de cero bytes), y cambiamos tanto el nombre como la extensión del archivo a:

autorun.inf

Hecho esto, guardamos este archivo monigote en el dispositivo portátil USB. De este modo, dependiendo de la naturaleza del infector, la computadora infectada no depositará el archivo malicioso principal que contiene las instrucciones requeridas para la ejecución del resto de los códigos infectores, puesto que ya hay un archivo autorun.inf ahí, el que pusimos nosotros mismos. Y puesto que el contenido está vacío, aunque el infector deposite otros archivos maliciosos estos no serán ejecutados automáticamente porque el archivo monigote no posee instrucción alguna que deba o pueda ser ejecutada. Esto no impedirá que se depositen en el dispositivo USB los otros archivos infectores, pero el archivo principal que los puede poner en movimiento no estará allí, neutralizando la efectividad del infector principal. El éxito de esta estrategia depende de que un infector no recurra al remedio expedito de simplemente borrar cualquier archivo autorun.inf que exista previamente en el dispositivo portátil para depositar a continuación el archivo autorun.inf contaminante. Pero es aquí en donde podemos explotar ventajosamente el hecho de haber depositado previamente un archivo autorun.inf con cero bytes de información: nos basta con estar checando el tamaño del archivo autorun.inf que aparezca en el dispositivo portátil USB. Si de pronto en base a sus “Propiedades” (recomendándose usar la barra de Menú del Explorer de Windows para ello) el archivo autorun.inf nos muestra un tamaño cualquiera (sin hacer doble click en momento alguno sobre el ícono del archivo) diferente de cero, digamos de unos 640 bytes, sabremos de inmediato que no se trata del archivo autorun.inf que pusimos nosotros mismos, con lo cual podremos proceder a borrarlo de inmediato. Con esta estrategia, tenemos acorralado al ejecutor de la infección en un callejón sin salida, ya que la única forma en la cual puede depositar un archivo autorun.inf que sea capaz de engañarnos consiste en poner un archivo autorun.inf del mismo tamaño, o sea de cero bytes, y en tal caso no podrá hacer prácticamente nada para que se ejecuten los archivos infectores asociados porque no habrá instrucción alguna que le sirva de guía.

Neutralizada la capacidad de un archivo autorun.inf infectado para echar a andar otros archivos ejecutables, queda pendiente de resolver un problema igualmente serio: la eliminación de los archivos ejecutables que hayan acompañado al archivo autorun.inf infectado. Supóngase que la infección ha depositado dos archivos maliciosos, un archivo autorun.inf y un virus informático olhrwef.exe que es puesto en movimiento por instrucciones del primero. Aún cuando la auto ejecución del autorun.inf haya sido inhabilitada en su totalidad, existe el riesgo de que al tratar de borrar el archivo viral olhrwef.exe en vez de borrarlo nosotros mismos lo echemos a andar haciendo involuntariamente el trabajo que debería hacer el autorun.inf contaminado. Esto ocurre porque para borrar un archivo dentro de Windows primero tenemos que seleccionar dicho archivo. Pero al hacer “click” con el mouse sobre el nombre o el ícono del archivo, es muy fácil que en vez de hacer un “click” sencillo (para seleccionar el archivo) hagamos o se haga (por efectos de la intermitencia del contacto eléctrico) un “click” doble rápido, con lo cual se pone en ejecución precisamente el archivo infector que tratábamos de borrar. Para impedir que esto ocurra, recurrimos a otro truco: oprimimos la tecla de “Shift” al hacer “click” con el mouse sobre el nombre o el ícono del archivo. Normalmente, si queremos copiar al mismo tiempo una gran cantidad de archivos de todo tipo, hacemos “click” sobre el primer archivo de la lista y volvemos a hacer click sobre el último archivo de la lista, con lo cual todos los archivos entre el primero y el último son seleccionados también para su copiado (o cortado y empastado), lo cual requiere que si alguno o varios de los archivos son ejecutables no se ejecuten porque esto crearía un caos. Entonces, si queremos borrar un archivo extraño que no reconocemos como legítimo en nuestra computadora o nuestro dispositivo, debemos hacerlo manteniendo oprimida la tecla de “Shift” (o bien la tecla de Control Ctrl), tras lo cual una vez seleccionado el archivo sospechoso podemos proceder a borrarlo de inmediato, haciendo lo mismo con todos los demás archivos que nos sean sospechosos. (El usuario debe estar familiarizado con aquellos archivos ocultos inocuos que son requeridos por el sistema operativo. Por ejemplo, uno de los pocos archivos ocultos que no se deben borrar es el archivo Thumbs.db, el cual es utilizado para dibujar las imágenes en miniatura de una carpeta que contiene imágenes cuando se activa la opción para “Ver” las “vistas en miniatura”.) Es importante señalar que aún cuando tengamos oprimida la tecla de Control Ctrl habiendo seleccionado varios archivos y carpetas de Windows con ella, sigue siendo posible echar a andar un archivo ejecutable malicioso haciendo doble click rápidamente sobre dicho archivo al estar dentro del grupo de archivos seleccionado. Sin embargo, el mantener oprimida la tecla de “Shift” o bien la tecla de Control Ctrl para seleccionar un solo archivo y borrarlo nos dá un nivel adicional de seguridad. Si queremos seguridad total en el proceso de borradura, entonces debemos “navegar” desde el Explorer de Windows desde cualquier otro archivo cercano hacia el archivo deseado para seleccionarlo (usando las “teclas de las flechas de navegación” situadas al lado derecho de las teclas normales de letras) llevando a cabo la borradura desde la línea del Menú del Explorer de Windows (yendo primero a “Archivo” y posteriormente a “Eliminar”). Este último procedimiento es el más seguro de todos, y no hay posibilidad de echar a andar accidentalmente un archivo ejecutable infector.

La nueva generación de infectores informáticos ha parado de cabeza muchos de los preceptos tradicionales y las recomendaciones y consejos que se daban a la hora de intentar borrar los rastros de una infección. Uno de tales consejos era que, si el Registro está trabajando, la primera prioridad consiste en hacer un respaldo del Registro usando el Editor del Registro para ello. Pero los nuevos infectores lo primero que hacen es meter su mano en el Registro, de modo tal que cuando se hace un respaldo del mismo posiblemente se está respaldando algo que ya está minado por una infección. Esto requiere que cualquier respaldo que se haga del Registro sea visto con desconfianza. Otro consejo que se daba era el de crear con frecuencia puntos de restauración del sistema, incluyendo el hacer una copia de todo lo que hay en “Mis documentos” y así como otros archivos importantes de la computadora. Pero esto supone que lo que haya en los puntos de restauración no haya sido infectado ya. La nueva generación de infectores es de una virulencia tal que infecta prácticamente todo lo que sea posible infectar, de modo tal que no es posible confiar ya en nada que esté puesto en una computadora aunque haya sido recién infectada; se vuelve necesario someter todo lo que hay bajo una lupa, incluídos todos los puntos de restauración. Del mismo modo, en muchas publicaciones técnicas previas a la aparición de los nuevos infectores informáticos, se le hacía al usuario la recomendación de estar haciendo frecuentemente y en forma periódica un respaldo de todo lo que hay en su computadora, de forma tal que si por alguna razón se vuelve necesario formatear el disco duro de la computadora entonces la información que se tenía pueda ser recuperada sin problema alguno. Inclusive hay programas comercialmente disponibles que permiten hacer un respaldo espejo de todo lo que hay en la computadora, incluído al mismo sistema operativo Windows con todo y sus archivos de programas ejecutables y procesos, permitiendo restablecer a la computadora a una configuración idéntica a la que tenía antes de descubrirse una infección. Esta advertencia ya está obsoleta. Y la razón por la cual ha quedado obsoleta es porque la nueva generación de infectores no sólo instala ya unos cuantos archivos maliciosos desde los cuales el virus se multiplica y se propaga hacia otras computadoras ya sea a través de medios portátiles o a través de Internet. La nueva forma de ataque consiste en infectar absolutamente todo lo que se pueda infectar dentro de la computadora, lo cual incluye hasta los mismos archivos de los cuales depende el sistema operativo Windows para poder funcionar. Los estragos causados por un infector como el Virus.Win32.sality son tales que inclusive la infección alcanza todos los puntos de restauración del sistema que han sido guardados por Windows, de modo tal que si el usuario en su ingenuidad trata de llevar a cabo una restauración del sistema usando la función “Restaurar sistema” de Windows (accesible desde el botón de “Inicio” en la opción “Todos los programas” en las “Herramientas del sistema” puesta bajo la sub-opción “Accesorios”), lo único que logrará será reafirmar la infección en la computadora sin importar el punto de restauración seleccionado. Se puede ir hasta el primer punto de restauración de todos, cuando el sistema operativo Windows recién fue instalado en la máquina por vez primera, y si la máquina ya fue infectada por el Virus.Win32.sality entonces se puede tener la certeza de que hasta ese primer punto de restauración también se encontrará infectado. En pocas palabras, este tipo de infectores es capaz de poner de rodillas a la función “Restaurar sistema” de Windows, la cual ha dejado de servir uno de sus principales propósitos que era el de llevar a la computadora hacia un estado de cosas previo a una infección informática. Y considerando que una gran cantidad de los archivos ejecutables así como una gran cantidad de los procesos .dll (las librerías del enlace dinámico) de los cuales depende el sistema operativo Windows hayan podido ser infectados, el respaldo que se haya hecho de todo el disco duro en alguna fecha previa sin tener la certeza absoluta de que la infección no hubiera penetrado ya en la máquina será un ejercicio futil porque será un respaldo inútil. Esto no significa que un respaldo backup de todo no pueda ser utilizado, pero siempre y cuando pueda ser revisado a conciencia por un buen programa antivirus como A-squared. En estos días, no basta con simplemente hacer el respaldo y volver a ponerlo en caso de problemas; el mismo respaldo debe ser puesto en entredicho y debe ser examinado a fondo por la presencia de cualquier archivo que pueda estar infectado. Resta decir que si se confirma que algunos de los archivos del mismo sistema operativo Windows han sido infectados, se tendrá que considerar seriamente la posibilidad de reestablecer en su totalidad el sistema operativo Windows rescatando lo que se pueda rescatar en el backup de cualquier cosa que encontremos que no haya sido infectada.

Por regla general, si la infección es muy profunda, es mil veces preferible formatear el disco duro y reinstalar el sistema operativo, ya que las nuevas variantes tienen la capacidad para infectar archivos del sistema operativo los cuales si son borrados o puestos en cuarentena por un programa antivirus pueden ocasionar inestabilidad en el funcionamiento de la computadora requiriéndose inevitablemente el formateo forzoso del disco duro. De cualquier manera, si la infección apenas ha empezado, tal vez sea posible reparar la máquina sin necesidad de tener que formatear el disco duro y reinstalar el sistema operativo. El objetivo más importante del contraataque a la nueva generación de infectores consiste en realidad en la toma de la decisión final sobre si se puede simplemente remover el virus sin dejar mayores secuelas en la máquina o si es mejor formatear y reinstalar el sistema operativo con todo el trabajo que ello implica. Todos los pasos intermedios que tomemos con las nuevas herramientas a nuestra disposición tendrán como eventual propósito elucidar este dilema. Un caso típíco de infección informática que nos puede poner en este dilema lo tenemos precisamente con el archivo jwgkvsq.vmx utilizado por Conficker. Como ya se mencionó, cuando se ha detectado una infección en vías de enraizamiento como la que se acaba de señalar, es importante no estar encendiendo y apagando la computadora sino tratar de hacer todo lo que se pueda hacer sin apagar la computadora para impedirle así al invasor el poder cambiar la configuración de la máquina a su antojo con el reinicio de la misma. Ya vimos que el virus jwgkvsq.vmx tiene la capacidad para poder modificar las entradas Hidden y SuperHidden en el Registro ocultando de este modo de modo permanente todos los archivos y carpetas marcados con el atributo de oculto, aunque en realidad al infector lo único que le interesa es poder ocultarse a sí mismo evitando ser descubierto por el usuario. En el caso del virus basado en el archivo jwgkvsq.vmx, puesto que el programa ejecutable FixDownadup.exe de Symantec es un proceso automático, es mil veces preferible bajarlo de Internet en otra computadora libre de infecciones y correrlo en la computadora infectada que tratar de llevar a cabo un procedimiento de remoción manual.

Un error que se comete con cierta frecuencia al encontrar a un infector de la nueva generación (después de haberse reactivado la opción para mostrar los archivos ocultos, en caso de ser ello aún posible) consiste en simplemente enviar el archivo infector a la “Papelera de reciclaje”, en la creencia errónea de que ya estando allí no podrá hacer más daño. El usuario debe ponerse a pensar en que, si el virus ya tiene cierto control sobre la máquina, una pequeña porción de código ejecutándose aún en la máquina al no encontrar el archivo principal en el lugar en donde espera encontrarlo tratará de buscarlo en la “Papelera de reciclaje”, y si lo encuentra allí lo podrá restaurar a su posición original, hacer una copia del mismo con otro nombre con el que lo pueda identificar, regresándolo nuevamente a la “Papelera de reciclaje” para que el ingenuo usuario crea engañado que el principal archivo infector sigue allí confinado sin causar efecto alguno, sin imaginarse que continúa ejecutándose en su máquina pero con otro nombre. La forma de enfrentar temporalmente esta posibilidad consiste en desactivar el proceso de que los archivos borrados pasen primero por la “Papelera de reciclaje”, ya que es muy común que el virus se quede alojado en ella. Esto se logra haciendo click derecho en el ícono de la “Papelera de reciclaje” para llegar así a la opción “Propiedades” que nos produce la siguiente ventana:





Manteniendo la opción “Utilizar una configuración para todas las unidades:”, picamos en “No mover archivos a la Papelera de reciclaje. Quitar los archivos inmediatamente al eliminarlos”. Hecho esto, debemos ejercitar cualquier borrado con precaución asegurándonos bien de que el archivo que estamos borrando realmente es un archivo infector o un archivo infectado, porque de este modo lo que borremos será borrado permanentemente sin ser almacenado temporalmente en la “Papelera de reciclaje”.

Para la purga manual de un archivo malicioso como jwgkvsq.vmx, abrimos el Editor del Registro y antes que nada hacemos una copia del Registro de nuestra máquina (téngase en cuenta que de cualquier modo varias de las entradas pueden haber sido ya alteradas por el intruso), para lo cual situamos el puntero en el ícono “Mi PC” (My PC), luego en menú “Archivo”, y “Exportar” (abajo tiene que estar picado todo). Habiendo hecho un respaldo del Registro, procedemos a buscar en el mismo Registro la hilera (cadena de caracteres, string) del archivo malicioso (jwgkvsq.vmx en nuestro ejemplo). Es probable que se encontrará en el Registro en una ruta como la siguiente:

HKEY_CURRENT_USERS\Software\Microsoft\Windows
\CurrentVersion\Explorer\MountPoints2
\{c0b71b83-3c81-11dd-99aa-0016767778e4}\Shell
\AutoRun\command]@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\\RECYCLER\\S-5-3-42-2819952290-8240758988-879315005-3665\\jwgkvsq.vmx

Una vez encontrado, cada vez que sea encontrado dentro del Registro, hay que eliminar la entrada directamente desde la ventana de comandos con click derecho usando la opción “Eliminar”. Habiendo borrado todas las entradas que contengan la hilera que identifica al archivo malicioso, podemos cerrar el Editor del Registro.

Una vez hecho algo como lo anterior, a continuación se debe llevar a cabo la detección del archivo o de los archivos que puedan contener el virus así como sus respaldos. Desafortunadamente en las nuevas variantes el virus infector muy posiblemente tendrá nombres aleatorios y estará muy bien escondido, inclusive no será algo tan obvio como un archivo ejecutable exe, ni un com, ni un bat, ni un pif, bien podrá ser un DLL (los cuales no son enlistados por el Administrador de Tareas). Lo más probable es que será imposible ubicarlo por la fecha ya que el archivo infector tomará la fecha de los archivos instalados de sistema asi que todos tendrán la misma fecha desde que el sistema operativo se instaló en la maquina. Esta es otra lección bien aprendida y asimilada por los vándalos informáticos que no tardaron en darse cuenta de que las fechas de creación proporcionaban previamente una pista segura hacia ellos. La única pista que podamos tener está en los atributos de cada archivo. Si los criminales informáticos autores de algún infector casualmente quisieron esconderlo tanto que es el único archivo de la carpeta

C:\WINDOWS\system32\*.dll

que tenga los atributos:

–A –R –H –S

ó sea:

______________A = Archivo (Archive)
______________R = Solo lectura (Read only)
______________H = Oculto (Hidden)
______________S = Sistema (System)

entonces es con un listado de los archivos que tengan estas características como tal vez lo podamos encontrar. Una vez enlistados los archivos sospechosos comienzan los estudios para saber si son o no componentes del virus que está infestando una máquina. Tratándose de los sucesores del virus Conficker que sirvió a la nueva generación de infectores como prototipo, lo más probable es que no se les podrá identificar por nombre ya que no será ninguno conocido por nosotros en virtud de que es aleatorio (al instalarse en cada máquina el virus cambia su nombre a otro que sólo él puede reconocer, e inclusive hasta cambia su ícono pudiendo disfrazarse como un archivo de texto o como el juego Buscaminas que está en los accesorios de Windows). Si hacemos click derecho en “Propiedades” sobre un archivo que posiblemente sea un archivo infector, no aparecerá ninguna especificación del archivo, y si aparece entonces lo más probable es que sea información falsa puesta allí para engañar. Si esto lo hacemos con cualquier otra “.dll” legítima nos va a decir algo asi: la versión, la descripción, el copyright, etc. Pero en el caso de nuestro enemigo, es probable que no nos dirá nada. Por otro lado, si lo queremos borrar no se puede y si le sacamos los atributos (específicamente, el atributo de oculto), inmediatamente se le colocan de nuevo. En un caso así, podemos tener casi un 99.9% de seguridad de que ese infector es nuestro enemigo. Y si no lo hayamos en la carpeta SYSTEM32, entonces puede estar en cualquiera de estas otras variantes (entre otras tantas carpetas) o inclusive en todas ellas:

C:\WINDOWS\system32\
%programfiles%\Internet Explorer\
%programfiles%\Movie Maker\
%c_appdata%\
%c_appdata%\Temp\
%tempdir%\
C:\Documents and Settings\gaston\AppData\Local
__\Microsoft\Windows\Temporary Internet Files
C:\Documents and Settings\gaston\Local Settings
__\Temporary Internet Files

Una vez que tenemos ubicado el nombre bajo el cual se está ocultando el infector así como los lugares en donde se está escondiendo, el siguiente paso consiste en la eliminación del mismo. Supongamos que el nombre aleatorio bajo el cual ha sido puesto el archivo infector (y el cual variará de máquina a máquina) es éste:

tbyuz.dll

Aquí es en donde podemos toparnos con el siguiente obstáculo que puede ser aprovechado por los criminales informáticos para hacer casi imposible la remoción de su principal archivo infector en caso de que sea localizado: hacer que otro proceso tal vez muy pequeño dependa de la ejecución del infector. Entonces al tratar de eliminar el infector principal Windows se negará a hacerlo dándonos un mensaje como el siguiente:

Error al borrar un archivo o carpeta
No se puede detener X: Está siendo usado por otra persona o programa.




El problema es que Windows no nos identifica la razón por la cual se niega a borrar el archivo. No nos dice el nombre del programa que pueda estar usando el archivo impidiendo con ello la eliminación del mismo. Y en esto consiste la traba.

Para enfrentar la situación mencionada, una alternativa extraordinariamente útil consiste en recurrir al programa Unlocker (obtenible gratuitamente en Internet) desarrollado por Cedrick ‘Nitch’ Collomb que es capaz de liberar los archivos bloqueados que no se pueden borrar, con lo cual podemos eliminar al archivo infector. La eliminación tiene que ser llevada a cabo con éste programa o con uno similar, ya que este tipo de programas interrumpe el proceso que está ejecutándose por el cual el archivo infector se hace imborrable (como todos sabemos, si el archivo esta en uso no puede ser eliminado al estar el virus registrado como un proceso). Una vez instalado en la computadora, este programa es fácil de utilizar. Simplemente hacemos click derecho sobre el archivo o carpeta que deseamos eliminar y seleccionamos la opción Unlocker:





Tras esto, si el archivo o la carpeta a ser eliminado tiene un candado (lock) o varios puestos por el sistema operativo Windows, aparecerá un listado completo de los candados:





Simplemente hacemos click en “Unlock All”, y los candados serán removidos propiciando la eliminación que no se podía llevar a cabo.

Una vez eliminado el infector principal y todas sus equivalencias disfrazadas que podamos encontrar en los otros directorios, podemos decir que estamos a mitad de solucionar el problema. El siguiente paso consiste en la eliminación de todas las papeleras de reciclaje que adentro contengan a nuestro enemigo, por ejemplo:

RECYCLER\S-5-3-42-2819952290-8240758988
___-879315005-3665\jwgkvsq.vmx

Hecho lo anterior, es importante correr sobre la computadora los programas que sean necesarios (y que se supone fueron bajados previamente en una computadora no-infectada), lo cual además del antivirus A-squared que se puede correr desde un dispositivo USB puede incluír a la herramienta Microsoft windows Malicious Software Removal Tool (KB890830) y al programa Malwarebytes Anti-malware (este programa es gratuito por los primeros 30 días). Finalmente, instalamos el parche de Microsoft que corrige la vulnerabilidad MS08-067. Tras instalarse el parche, se lleva a cabo nuevamente el “Análisis completo” con el Microsoft windows Malicious Software Removal Tool (en lugar del “Análisis rápido”), y tras esto, se corre el programa Anti-malware de Malwarebytes para limpiar todo lo que se pueda. Esto nos permite instalar un programa antivirus que termine de limpiar lo que haya necesidad de limpiar en la máquina (se recalca que todos los pasos anteriores serán útiles cuando el grado de infección en la máquina no haya avanzado demasiado. En caso contrario, será necesario formatear el disco duro y reinstalar el sistema operativo).

Como puede verse, el proceso de remoción manual total de un infector informático de nueva generación como Conficker puede ser algo elaborado y cansado, razón por la cual muchos preferirán recurrir a un programa como FixDownadup.exe de la empresa Symantec (Norton). De cualquier manera, este programa solo limpia una computadora infectada del virus Conficker, el gran abuelo de los nuevos infectores. Si la máquina fue víctima de una “bomba”, habiendo recibido varios infectores distintos como parte de un solo contagio, entonces tras la remoción de Conficker se requerirá llevar a cabo un análisis como el que se ha señalado con el programa antivirus A-squared operando desde un dispositivo USB.

Tras una experiencia como ésta que puede ser traumática, el usuario tal vez considere las ventajas de comprar una computadora MacOS o de instalar el sistema operativo Linux en su máquina como lo recomiendan muchos expertos, dada la propensión mucho más reducida de Linux a ser infectado que el sistema operativo Windows cuyas deficiencias inherentes de estructura seguirán en pie por mucho tiempo en virtud de la necesidad de hacer cada versión de Windows compatible con todas las versiones inferiores y la necesidad de que los programas que corrían en las versiones anteriores puedan seguir corriendo en las nuevas versiones de Windows. Considerando los ahorros que se pueden obtener de una máquina corriendo el sistema operativo Linux por el solo hecho de no requerirse como cosa casi obligada la instalación en la máquina de un paquete antivirus como McAfee o Norton pagando las actualizaciones anuales (lo cual hace unos 10 años tenía un costo de unos 10 dólares anuales, costo que ha escalado a unos 50 dólares en la actualidad, y a como va la cosa el costo posiblemente subirá a unos 100 dólares anuales o más de mantenerse la tendencia alcista), sumado al hecho de que el mismo sistema operativo Linux es gratuito y no es necesario andarle pagando a nadie licencias de uso, el ahorro total entre usar una máquina con Windows y una máquina con Linux puede ser fácilmente superior a los 200 dólares, lo cual es digno de pensarse. Si a esto le sumamos el hecho de que una máquina Linux, por no requerir la ejecución constante de un pesado programa antivirus robándose los limitados recursos de la memoria RAM en todo momento así como el tiempo de procesamiento de la unidad CPU de la máquina, puede ser fácilmente dos o tres veces más rápida que la misma máquina operando con Windows (esto lo puede verificar el usuario fácilmente desactivando su programa antivirus y comparando el aumento en la velocidad de la máquina), las desventajas crecientes de seguir apegado a un sistema operativo con tantas vulnerabilidades y deficiencias se vuelven más que obvias, tomando en cuenta el hecho de que la razón principal por la cual no es posible prescindir del programa o de los programas antivirus que se estén corriendo en el fondo es precisamente a causa de las enormes vulnerabilidades de Windows que lo predisponen a ser atacado de mil maneras diferentes.

Habiendo visto algunas de las nuevas herramientas y métodos disponibles para poder montar un contraataque que dé respuesta a una invasión de infectores de nueva generación, el siguiente paso consistirá en repasar paso a paso un caso típico de la vida real.