10
Ago
Mixel Vs Vundo
El otro día estaba arreglando una computadora que me trajeron, y como ya es costumbre el problema era que windows no arrancaba bien, entraba hasta el escritorio, pero no salia nada, es decir el escritorio estaba vació. Si intentabas ejecutar el explorer de forma directa, este se volvía a cerrar, lo cual indicaba parte del problema y cuando intenté ejecutar cmd.exe o la línea de comandos, esta también se cerro de inmediato, ni siquiera shutdown -a funcionaba y eso ya es mucho decir.
Sin muchas pistas, me dí a la tarea de encontrar y terminar con el programa responsable de que la computadora no funcionara, y hay que decir que fue otro caso exitoso y no muy tardado.
Bien como el título lo dice se trataba de una variante del Vundo, que desde tiempo atras es muy común encontrárselo. Nunca falta el que se traume con un virus y empiece a divulgar que el virus es muy difícil de eliminar, cosa que normalmente es mentira, puesto que la mayoría de las infecciones no tocan o reemplazan archivos del sistema y si esto fuera así, aun quedan algunas cuantas cartas bajo la manga las cuales se pueden jugar en cualquier momento.
Visto que no era posible arrancar la máquina en forma normal, la inicie en modo a prueba de fallos, y al igual que en el modo normal, explorer.exe no quiso iniciarse, sin embargo al iniciarlo con la orden explorer.exe c: arranco sin ningún problema y pude navegar hasta mi memoria usb y finalmente ejecutar Autoruns.
Sin muchas pistas, me dí a la tarea de encontrar y terminar con el programa responsable de que la computadora no funcionara, y hay que decir que fue otro caso exitoso y no muy tardado.
Bien como el título lo dice se trataba de una variante del Vundo, que desde tiempo atras es muy común encontrárselo. Nunca falta el que se traume con un virus y empiece a divulgar que el virus es muy difícil de eliminar, cosa que normalmente es mentira, puesto que la mayoría de las infecciones no tocan o reemplazan archivos del sistema y si esto fuera así, aun quedan algunas cuantas cartas bajo la manga las cuales se pueden jugar en cualquier momento.
Visto que no era posible arrancar la máquina en forma normal, la inicie en modo a prueba de fallos, y al igual que en el modo normal, explorer.exe no quiso iniciarse, sin embargo al iniciarlo con la orden explorer.exe c: arranco sin ningún problema y pude navegar hasta mi memoria usb y finalmente ejecutar Autoruns.
Autoruns mostró algunas cuantas cosas interesantes, entre ellas una dll que se iniciaba desde varios lados, en todas cumpliendo distinta función. Desconozco que hace exactamente esta dll, sin embargo por los lugares en donde se hacia referencia a ella , era casi imposible iniciar windows sin ejecutar dicha dll. Y para poner las cosas un poco más complicadas, este archivo, iniciaba parece ser antes que el antivirus, por lo que ya no funcionaba sin importar que estuviera actualizado a la ultima versión de la base de firmas, hay que decir que el antivirus era el nod32 2.7 y que la actualizacioón estaba hasta el dia anterior al que la revise.
Sin dejar pasar más tiempo instale el Rootkit Unhooker y reinicie la computadora, no sin antes fijarme bien en los nombres de los archivos que había que eliminar. Una vez que se inicio el windows, ejecuté el administrador de tareas y luego ejecute una nueva tarea la cual era el RKU con el navegue hasta la carpeta de System32 y primeramente genere copias del archivo, paso que no es necesario pero que realice para posteriormente subirlos a Virustotal.com, ya habiendo hecho mis copias de los archivos, le dí en Direct File Sweep o lo que es lo mismo llene los archivitos con ceros, esto sin que el programa o windows siquiera se dieran cuenta. Ya que los tres archivitos estaban en ceros y había eliminado algunos otros que no requerían mayor tratamiento, provoque un BSOD con el RKU. Como podrán adivinar, al iniciar la computadora esta arranco sin ningún problema, al menos no de virus ya que tener 128 megas en RAM es un problema de por si.
Bien pero aquí hay un detalle, como podemos protegernos de este tipo de malware que no respeta antivirus actualizados ni a una que otra herramienta. Siempre resulta ser que el vector de infección fue que el usuario abrió tal o cual archivo para poder ver un video o que le mandaron por messenger o en algunos casos extremos, ni siquiera hubo interacción, es decir solo se visitó una página y el virus fue instalado usando un exploit del navegador.
Saludos
εïз Danny εïз dice: dijo:
Oraleee.. ya se a quién llamar cuando alguna de las maquinas que manejo tenga virus.. a super MiXeL al rescateee!!
:D
Jojojo
solo que si me hablas te voy a cobrar por limpiarte tu compu
;)