Este nuevo virus está siendo evolucionado constantemente por sus creadores que están “tanteando” el terreno para ver cuáles de las variantes del virus les dán mejores resultados, y no hay una receta general de contraataque que se aplique por igual en todos los casos. Tras los enormes esfuerzos que les debe estar costando a los creadores del nuevo virus primero el haberlo lanzado después de cientos o miles de horas de programación buscando los puntos vulnerables y posteriormente estarlo actualizando de varias maneras, existe un interés ulterior, el cual consiste en esquilmar a quienes caigan en la trampa con pagos de “actualización” que, sumados, equivalen posiblemente a varios cientos de millones de dólares. Si la inversión requerida para crear esta nueva amenaza necesitó de una erogación de unos dos millones de dólares (la contratación del talento requerido para un esfuerzo de esta magnitud es algo que requiere de mucho dinero) y si las ganancias potenciales son de unos cien o doscientos millones de dólares, el regreso en la inversión sería de unos cien dólares por cada dólar invertido en el esfuerzo, lo cual hace muy atractivo emprender una empresa criminal de esta naturaleza. Dadas las semejanzas de algunas de las interfaces gráficas de esta nueva amenaza con las interfaces gráficas utilizadas por el destructivo virus predecesor Spyware Protect 2009, es muy posible que los creadores de la nueva amenaza, Malware Destructor 2011, sean los mismos.
Para ver cómo puede llevarse a cabo el ataque, posiblemente lo mejor sea empezar desde el principio, situándonos en el lugar de uno de tantos millones de usuarios de Internet y viendo la manera en la cual va progresando la virulencia del ataque así como tomando nota de algunas medidas precautorias que podrían irse tomando en el camino por parte del usuario. Las explicaciones se llevarán a cabo suponiendo que el usuario está utilizando el navegador Mozilla Firefox no sólo porque ha demostrado una enorme vulnerabilidad a este tipo de infectores sino porque es ampliamente utilizado por millones de internautas precisamente por su reputación como una plataforma sólida y robusta bastante segura.
Supóngase que al estar navegando en Internet, estamos interesados en el tópico de las ranas, y queremos obtener a través del motor de búsqueda de Google algunas imágenes fotográficas de ranas. La entrada usual a Google es:
Una vez en la página de Google, el usuario usualmente se va a la esquina superior izquierda en donde está la línea del menú de Google y selecciona la opción “Imágenes” (situada inmediatamente a la derecha de la opción “La Web”). Tras esto, al aparecer la nueva página que corresponde a la página Google para la búsqueda de imágenes, escribe en la caja de texto alguna palabra como “ranas” (o varias palabras separadas por espacios en blanco), y oprime con el cursor el botón de “Buscar imágenes”. Google nos proporciona varias imágenes reducidas, y como una comodidad para el usuario, con el solo hecho de situar el cursor en cualquiera de las imágenes nos dá una imagen un poco más ampliada con algunos detalles de la imagen:
Si nos gusta la imagen y queremos bajarla de la Web, entonces posicionando el cursor dentro de la imagen ampliada y haciendo “clic” repetido sobre dicha imagen con el botón izquierdo del ratón de la computadora, o bien haciendo “clic” con el botón derecho del ratón de la computadora para abrir el menú que nos permite abrir la página detallada en una ventana nueva (Open Link in New Window):
entonces Google nos presenta una página en la cual tenemos la opción para poder inspeccionar la imagen en tamaño completo antes de bajarla a la computadora (Imagen en tamaño completo):
No hay que perder de vista que, hasta este punto, el usuario confía plenamente en Google al sentir que sigue estando dentro de los recursos de Google y que no ha entrado en lo absoluto al sitio Web original que almacena dicha imagen pensando que dicho sitio tal vez pueda estar infectado o no ser un sitio seguro. Todo lo que el usuario desea es ver la imagen ampliada tras lo cual la imagen puede ser descargada en la computadora con la ayuda del navegador Mozilla Firefox, confiando además en que al llevarse a cabo la descarga el navegador Mozilla Firefox inspecciona rutinariamente la imagen misma para verificar que no sea portadora de virus.
Una vez descargada la imagen de muestra mencionada arriba, el usuario tal vez quiera descargar otra imagen que puede ser del prócer mexicano Benito Juárez, repitiendo los mismos pasos señalados arriba, viendo en el menú de fotografías que le presenta Google una cuyo título (incompleto) es “02-mexico-personajes-b”, cuyo tamaño es de 408 por 640 pixeles, alojada en el sitio Web “www.justhosttest.com”. Interesado en la fotografía, el usuario pide a Google a través del navegador abrir una nueva página con la cual pueda ver la imagen en tamaño completo sin necesidad de tener que arriesgarse entrando directamente al sitio Web en el que está alojada dicha imagen. Pero al hacer estas cosas, de pronto le aparece al usuario en el centro de su computadora algo como lo siguiente:
tras lo cual en cuestión de unos cuantos instantes esto se convierte en una ventana un poco más grande como la siguiente que en caso de estarse utilizando el navegador Internet Explorer de Microsoft en lugar del navegador Mozilla Firefox tiene un aspecto como el siguiente:
El mensaje dice textualmente:
Windows Security has found critical process activity on your system and will perform fast scan of system files.
que traducido al Español viene siendo:
Windows Security ha encontrado actividad de proceso crítico en su sistema y llevará a cabo un escaneo rápido de los archivos del sistema.
Sin embargo, esto no es un mensaje del navegador Internet Explorer para el usuario. Tampoco es un mensaje generado por alguna opción “Windows Security” del sistema operativo Windows de Microsoft. Se trata de un impostor generado por el mismo infector que trata de hacerle creer al usuario que hay una supuesta amenaza, una “actividad de proceso crítico” típica de las infecciones virales informáticas, y que el sistema tiene que ser “revisado para determinar si hay una actividad de proceso crítico”. Todo lo que hay en esa ventana es una burla puesto que, lejos de ser algo para proteger al usuario, se trata de un troyano extraordinariamente potente que requiere forzosamente de la ayuda del usuario haciendo “clic” sobre cualquiera de las dos opciones dadas en dicha ventana (el botón de “OK” y la “X” en la esquina superior derecha para cerrar la ventana). Las dos opciones dadas al usuario son igualmente malas y funestas.
En caso de estarse utilizando el navegador Mozilla Firefox, la ventana contendrá el mismo mensaje y es posible que proporcione alguna dirección falsa de un sitio Web:
Es importante señalar que esto aparece aunque el usuario tenga activada en el navegador Mozilla Firefox la opción para bloquear ventanas “pop-ups” emergentes. Tenemos pues una vulnerabilidad enorme en el navegador Mozilla Firefox que le dá la puerta de entrada a un invasor sumamente pernicioso, aprovechándose en el hecho de que muchos usuarios de Mozilla Firefox confían plenamente en que el navegador con sus opciones rutinarias activadas impedirá la descarga de este troyano sobre la máquina.
Como ya se mencionó, para poder terminar su primera etapa infectora, el infector necesita forzosamente que el usuario haga “clic” con el botón del ratón de su computadora con el cursor situado dentro de la ventana perniciosa. Mientras esto no ocurra, el infector no puede dar por concluía su primera fase infectora, la más importante de todas para los creadores del virus. En base a esto, la primera recomendación importante que debemos tomar en cuenta siempre es la siguiente:
Por ningún motivo y bajo ninguna circunstancia debemos hacer “clic” con el mouse de la computadora estando situado el cursor dentro de la ventana presentada por el invasor, ni sobre la opción “OK” ni sobre la opción para cerrar la ventana, las cuales no son opciones sino trampas.
Esta medida precautoria impide terminantemente que el infector pueda completar su primera fase destructiva, pero no lo saca del navegador que está ejecutándose. Si el usuario intenta cerrar el navegador Mozilla Firefox (mediante la “X” de cierre de ventana situada en la esquina superior derecha del mismo navegador), en vez de cerrarse el navegador es muy posible que le aparecerá otro “mensaje de advertencia” como el siguiente:
Nuevamente, el infector intenta obligar al usuario a “oprimir” cualquiera de las opciones dadas dentro de la ventana mortal, que en este caso son tres, el botón de “Yes”, el botón de “No”, y la “X” de cierre de ventana que presenta el mismo infector.
La ventana infectora es persistente. De nada sirve que el usuario trate de enviarla a la “barra de tareas” del sistema operativo Windows en el borde inferior de la computadora con la finalidad de invocar el menú de Windows que dá las opciones de “Restaurar”, “Maximizar” y “Cerrar”, tal menú Windows no aparecerá tratándose de la barra que corresponde a la ventana infectora. En este caso, se está explotando otra de las muchas vulnerabilidades de Windows aunque se trata de una copia actualizada del sistema operativo. Esto dá una idea de cómo, aún sin haber concluído la primera fase de infección, el invasor ha avanzado dentro de la computadora para tomar el control de la misma.
En un intento desesperado por librarse de la ventana nociva, el usuario puede tratar de recurrir al “Administrador de Tareas” de Windows (oprimiendo al unísono las tres teclas Ctrl-Alt-Del ó Ctrl-Alt-Supr) para que en la ventana que corresponde a la pestaña de “Aplicaciones” se seleccione la ventana nocica cerrándose a dicha ventana con el botón “Finalizar tarea”, o bien yendo a la ventana que corresponde a la pestaña de “Procesos” para seleccionar el programa principal con el cual trabaja el navegador, firefox.exe, cerrándose la ejecución del proceso con el botón “Terminar proceso”. Es posible que de este modo el usuario logre cerrar la ventana del navegador Mozilla Firefox, pero al abrir de nuevo el navegador Mozilla Firefox le espera una sorpresa sumamente desagradable: la ventana del infector volverá a aparecer nuevamente. Y en esta ocasión ya ni siquiera es necesario entrar a Google para buscar imágenes, la reaparición de la ventana infectora ocurrirá automáticamente y de manera inmediata al ser abierto el navegador nuevamente. Esto pone a la luz una terrible vulnerabilidad del navegador Mozilla Firefox que la nueva amenaza está explotando: el invasor se “pega” al navegador utilizando en su provecho la memoria “caché” que guarda el navegador sobre el historial de los sitios que ha visitado, y aunque el navegador sea cerrado y vuelto a abrir, esta memoria invocará nuevamente al invasor. Normalmente, cuando hay un apagón, el navegador Mozilla Firefox pensando en ser una ayuda al usuario va conservando el historial de los sitios visitados así como los procesos activos; de este modo al encender la máquina nuevamente el navegador le presenta al usuario dos opciones, la opción de “restaurar” todo lo que se estaba viendo mediante el navegador justo antes del apagón, o vien la opción de empezar con una nueva sesión borrando todo lo que se tenía previamente. Esta opción podría ser de ayuda para “despegar” la ventana invasora del navegador Mozilla Firefox, excepto que antes de que el usuario haya tenido tiempo de escoger la opción del navegador de empezar con una nueva sesión la ventana invasora ya se habrá reinstalado nuevamente, y de hecho en las computadoras rápidas esta reinstalación será casi instantánea (cuestión de unos cuantos milisegundos) no dándole tiempo al usuario para poder hacer nada. Y en otras variantes del infector, la situación es tan mala que cada vez que invoque el usuario al navegador Mozilla Firefox, aún aceptando la presencia de la ventana invasora, lo único que estará apareciendo será la ventana invasora pero no el navegador, como si el navegador Mozilla Firefox hubiera sido borrado de la máquina.
Todo esto ocurrirá aunque el usuario tenga instalado en su máquina alguno de los paquetes más completos y más actualizados de uno de los mejores antivirus que se puedan obtener en el mercado (McAfee, Norton, Kaspersky, etc.), los cuales ni siquiera se darán cuenta de lo que está sucediendo. Y ocurrirá aunque el usuario tenga activados todos los firewalls que tenga disponible en su máquina (por ejemplo, una máquina que tenga corriendo al mismo tiempo tanto el “firewall” de Windows como el “firewall” de McAfee). Esto muestra cómo con una cantidad de código tan relativamente pequeña como la que se obtuvo a través del navegador Mozilla Firefox con el solo hecho de tratar de bajar una imagen mediante el motor de búsqueda de Google es capaz de avasallar todas las protecciones costosas que le dan al usuario una falsa sensación de que está protegido, una falsa sensación de seguridad.
El nuevo infector es tan potente y tan engañoso que conforme el usuario va tratando de deshacerse de él sin lograrlo pero sin ceder a las presiones, el infector va refinando su estrategia y va cambiando de táctica recurriendo a otras artimañas y estrategias para forzar al usuario a que haga el “clic” dentro de algunas de las ventanas impostoras que es capaz de generar, ese “clic” sin el cual no se puede concluír la misión infectora. En una de sus variantes (el infector ya tiene docenas de variantes diferentes, de todos sabores y colores), aparece una ventana como la siguiente (esta imagen al igual que las que siguen pueden ser ampliadas para verlas en mayor detalle):
Esta ventana también es una engañifa de principio a fin, y todo lo que hay adentro es falso. Este impostor trata de hacerle creer al usuario que se trata de algo enviado por el “Centro de seguridad” de Windows como parte del servicio de “Actualizaciones automáticas” que le es tan familiar a muchos usuarios, una familiaridad que inspira una confianza en los usuarios que el infector trata de explotar en provecho propio. El título System Security Pack Upgrade es una trampa para hacerle creer al usuario que se trata de algo que le mejorará la seguridad en su computadora, “justo” cuando el usuario tiene el problema de esa ventanita de la cual no se puede deshacer, dándole razones para morder el cebo y hacer el “clic” dentro de la ventana que el infector necesita desesperadamente del usuario para concluír la primera etapa de infección. Inclusive en los detalles del “Update”, se le proporciona al usuario un número de código KB918693 en el mismo formato que utiliza Microsoft para sus actualizaciones legítimas, aún otra treta para inspirarle confianza al usuario. Sin embargo, y en este ejemplo en particular, un usuario inteligente sabe muy bien que esta ventana no tiene absolutamente nada que ver con el servicio de actualizaciones automáticas de Windows, porque en los detalles (Details) de la ventana dá las “gracias por el interés en obtener actualizaciones de nuestro sitio”, algo que Microsoft no acostumbra hacer.
¿Y qué puede suceder si, en un acto final de desesperación, el usuario cede y oprime dentro de cualquiera de las ventanas generadas por el infector alguna de las opciones que le son presentadas? En tal caso, le está dando al infector su autorización para que prácticamente tome control sobre la máquina sin poder deshacerse de su presencia nunca más a menos de que el disco duro sea formateado y el sistema operativo sea reinstalado de nuevo. Se trata de algo todavía mucho más pernicioso que el virus Spyware Protect 2009. Al llevarse a cabo el supuesto escaneo de archivos en busca de infectores (siendo que el supuesto escaneo lo está llevando a cabo un infector extremadamente virulento), en lugar de llevarse a cabo escaneo alguno lo que realmente sucede es que se empiezan a descargar a través de Internet otros programas y programas de apoyo para que el infector pueda apoderarse por completo de la máquina infectando casi todo lo que se pueda infectar. No hay escaneo alguno, lo único que hay es una entrega de la máquina a gente desconocida que podrá monitorear desde lejos todo lo que el usuario está haciendo o inclusive todo lo que está escribiendo.
En una de las variantes del infector, el programa presenta una interfaz que es a su vez su máscara con la cual pretende engañar al usuario haciéndole creer que ha instalado algo sumamente útil en su máquina que le ayudará a limpiarla, algo supuestamente funcionando como un “programa de prueba” para darle confianza al usuario, algo como lo siguiente:
Obsérvese que en la esquina inferior izquierda de la ventana “Malware Destructor 2011”, hay un botón grande titulado “Unlock Full Version”. Es para hacer el pago vía Internet por la copia completa del programa “protector” que en realidad es el principal invasor. Así es como hacen dinero los creadores de estos infectores, esquilmando a todos aquellos a los que puedan esquilmar. Así es como se justifica la gran inversión monetaria requerida para elaborar este tipo de infectores. Otra ventana similar a la anterior en la cual se muestra en el “programa de demostración” el “Status de seguridad” (Security status) con las opciones de protección que supuestamente están activadas (no hay tal, todo es una farsa) es la siguiente:
Después de darse torpemente la autorización para que se lleve a cabo el supuesto escaneo de archivos, y una vez que ha terminado el falso escaneo que en realidad es una descarga de archivos perniciosos sobre la máquina, podrá aparecer algo como lo siguiente:
Supuestamente, gracias al escaneo se encontraron 13 infectores (aunque se trate de una máquina nueva recién comprada garantizada de no tener infector alguno antes de ocurrir estos incidentes) dándose los nombres (falsos) de los infectores encontrados. Y es aquí cuando se le pide nuevamente al usuario que haga otro “clic” en “Remover Amenazas” (Remove Threats). En realidad no se remueve nada, son sólo los últimos “toques” para darle la estocada final a la máquina del usuario. Si lo anterior no les funciona, aún cuentan con otras ventanas con alertas diseñadas para asustar al usuario, como la siguiente “advertencia” recordándole al usuario que es urgente y necesario que actualice la base de datos:
En realidad aquí no se llevaría a cabo ninguna actualización de ninguna base de datos, lo único que se haría consistiría en la descarga de más programas nocivos para hacerle imposible al usuario el poder sacar al infector de su computadora si no es al alto costo de tener que formatear el disco duro perdiendo la información que tenía almacenada. Cuando se instala definitivamente el infector en la máquina, pone un ícono como el siguiente:
tanto en el escritorio de Windows como en la barra de tareas.
Supuestamente programas como “Anti-Malware” de Malwarebytes son capaces de limpiar la máquina de este nuevo tipo de infectores, pero están apareciendo tantas variantes tan perniciosas que inclusive los creadores de este software anti-malware están teniendo serias dificultades en lograr cumplir sus promesas de purgar a los nuevos infectores de una máquina, esto sin contar con el hecho de que la infección haya avanzado a grado tal que no será posible removerla de la máquina.
¿Qué hacer en el caso de una máquina que acaba de sucumbir a una infección al haber hecho “clic” el usuario en alguna ventana en donde jamás debería haber hecho tal cosa? Aquí pueden resultar útiles algunas de las observaciones que se han hecho previamente en otras entradas en relación al contraataque montado en contra de Spyware Protect 2009, pero con el nuevo infector no hay garantías de que un éxito total, todo es cuestión de suerte y algo de mañas.
Suponiendo que un usuario inteligente aún no haya hecho “clic” en la primera ventana que delata la presencia del infector, esa ventana que dice que se va a llevar a cabo un escaneo del sistema porque se ha encontrado (supuestamente) “actividad de proceso crítico”, ¿qué se puede hacer para recuperar la funcionalidad normal del navegador Mozilla Firefox sin que el mismo navegador esté invocando una y otra vez al intruso inclusive después de apagarse y encenderse la computadora? ¿Qué se puede hacer para impedirle al intruso apropiarse de la reserva temporal de memoria del navegador Mozilla Firefox al estar utilizando los motores de búsqueda de Google?
Para sacar al intruso fuera cuando recién se está tratando de instalar en la máquina, hay que tomar en cuenta dos cosas importantes: el intruso no depende en su primera línea de ataque de la instalación de un archivo en el disco duro de la máquina, tal intento lo expondría al escrutinio inmediato de cualquier programa antivirus que esté monitoreando constantemente los archivos que tratan de instalarse en el disco duro sin el consentimiento o el conocimiento del usuario. Depende de una sección de código Javascript, la cual sí es conservada por el navegador Mozilla Firefox en el caso de que la máquina sea apagada súbitamente, y la cual sobrevive cada vez que se echa a andar el navegador. Y depende de que el navegador retenga esta información en su propia memoria caché que guarda en el disco duro. Entonces, para remover la ventana perniciosa, es necesario antes que nada desactivar la opción que le permite al navegador Mozilla Firefox interpretar el código Javascript. En un navegador como el Mozilla Firefox versión 3.6, esto se hace en la línea del menú por la siguiente ruta:
Tools → Options → Contents
que en una versión en Español de Mozilla Firefox vendría siendo:
Herramientas → Opciones → Contenidos
Una vez en dicha ventana, hay que desmarcar el casillero que dice “Enable Javascript” y oprimir la tecla de “OK”. Pero puede que esto no sea suficiente, hay que limpiar el historial de lo que está siendo retenido por Mozilla Firefox, lo cual se logra siguiendo la ruta:
Tools → Clear recent history
que en una versión en Español de Mozilla Firefox vendría siendo:
Herramientas → Limpiar historial reciente
En algunas de las variantes del infector, es posible que sea uno de los que están programados para darse cuenta de esto que se está tratando de hacer, inhabilitando por completo la aparición del navegador aunque el ícono del navegador de Mozilla Firefox que está puesto en el escritorio sea activado una y otra vez, produciendo únicamente la ventana del infector. En tal caso, un remedio posible consiste en invocar al navegador yendo directamente al botón de “Inicio” de Windows (en el extremo inferio izquierdo de la computadora) y yendo a la opción “Internet” que debe mostrar la imagen típica del zorrito englobando al mundo que utiliza Mozilla Firefox (se supone para esto que durante el proceso de primera instalación del navegador Mozilla Firefox en la máquina el usuario seleccionó al navegador como el navegador de default o navegador de inicio a ser utilizado por la máquina). Esto debe hacer accesible al navegador con lo cual se pueden hacer los cambios arriba indicados.
Y en cuanto al usuario que nunca ha sucumbido a este nuevo tipo de infector, ¿qué puede hacer para minimizar las posibilidades de contraer este problema, siendo que para esto ni los principales programas antivirus en el mercado ni los programadores de Mozilla Firefox ni siquiera la misma empresa Google han encontrado alguna forma de impedir su aparición o de ser utilizados como medios de tranporte para acarrear la carga letal? Sobre esto último, hay una opción de navegación en el Mozilla Firefox que debe ser utilizada siempre cada vez que se recurra al servicio de búsqueda de imágenes de Google (por lo menos mientras Google encuentra la manera de bloquear las imágenes que conecten con sitios Web infectores). Se trata de la opción de navegación privada. Con esta opción, el navegador Mozilla Firefox no retiene nada, pero lo que se dice absolutamente nada de lo que se ha visto previamente, no conserva historial alguno excepto el historial presente y lo que ya haya quedado antes de ser activada dicha opción. Para activarla, la ruta a seguir es:
Tools → Start private browsing
que en la computadora muestra el siguiente aspecto:
Al procurarse la activación de la opción de navegación privada, el navegador presenta una ventana (no infectora) en la cual le advierte al usuario que nada de lo que vea será retenido, que no podrá volver hacia atrás como está acostumbrado, dándole al usuario la opción de continuar adelante con su navegación normal o de empezar su navegación como navegación privada.
Con la navegación privada activada, no importa que al estar buscando imágenes en Google aparezca la ventana infectora que dice “Windows Security has found critical process activity on your system and will perform fast scan of system files”, ya que bastará con que el usuario con algo de maña y experimentación usando como guía lo que se ha dicho arriba cierre el navegador Mozilla Firefox, con lo cual no quedará rastro del infector al ser abierto el navegador nuevamente en virtud de que ni siquiera el código Javascript utilizado por el infector será retenido. En caso de que haya aparecido la ventana infectora estando activada la opción de navegación privada, se recomienda cerrar el navegador Mozilla Firefox directamente desde el Admnistrador de Tareas de Windows, lo cual lo cerrará incondicionalmente y en forma absoluta al navegador con todo lo que tenga mostrado o ejectuando. Y gracias al haberse tenido la opción de navegación privada activada, al abrirse nuevamente el navegador Mozilla Firefox del modo usual ya no habrá presencia alguna del infector.
Lo ideal sería que la empresa Google antes de poner a plena disposición de los internautas su catálogo de imágenes encontrara la manera de bloquear todos aquellos sitios que con la sola consulta de la imagen misma (sin haber entrado a dichos sitios) descargan este nuevo infector que es extremadamente potente y al que no lo están parando ni los programas antivirus ni el modo usual de operación de los navegadores, algo que Google debería poder hacer considerando que Google cuenta con los recursos para ello (Google ya demostró su extraordinaria capacidad para bloquear por completo todos aquellos sitios que promueven imágenes de pornografía infantil y fotografías de jóvenes adolescentes desnudas). Pero mientras Google decide atacar de frente y a fondo este problema antes de que termine empañándole su reputación como una fuente confiable de consulta de imágenes, el usuario cauto haría bien en activar la opción de navegación privada de su navegador cada vez que haga una búsqueda de imágenes en Google, porque las alternativas serán bastante duras para el que quiera tomar riesgos innecesarios.
