23
Dic
Otra historia de Vundo
Ayer cuando llegue a mi casa, mi primo que acababa de llegar de USA, me comento que su laptop estaba fallando, que de repente la barra de tareas se desaparecía, y que de repente volvía a aparecer. Mientras cenábamos me comentaba acerca de que tenia el LimeWire, programa que yo también tengo, cosa a la que no le di mucha importancia. Cuando termine de cenar, me dispuse a revisar la laptop, que para mi mala fortuna y sobre todo mi desagrado la computadora tenía instalado Vista Home Premium. Al principio no tenia ni la más minima idea de que era lo que estaba ocasionando dicho comportamiento de la barra de tareas, pero como suele ser mi costumbre abrí el Administrador de tareas y fui terminando procesos de una forma controlada y ordenada. Tengo que reconocer que de vista no se casi nada, no había tenido la oportunidad de meterme a fondo en las tripas de alguna maquina con dicho sistema operativo, sin embargo me sentí como en casa, es decir los mismo procesos, los mismos nombres de archivos, y demás cosas, claro que adornados con muchos procesos en su mayoría inútiles y uno que otro servicio nuevo.
Todos los procesos se comportaban de una forma normal, hasta que llegue al LimeWare, que sin importar cuantas veces lo terminara, este volvía a ser ejecutado por otro proceso hasta el momento desconocido. Cuando trate de borrar el limeware de forma manual y no conseguir hacerlo, me dije, hay que traer la caballeria pesada, así que fui a mi computadora y baje el process Explorer, actor seguido revise quien estaba lanzando el proceso del limeware y lo pause, y así, termine el limewire y fui y borre la carpeta en la que este estaba instalado. El siguiente paso era deshacerse del proceso, que tenia un nombre bien Microsoft, un nombre que fácilmente se confunde con un proceso bien conocido en Windows, me refiero a svchost.exe, claro que ya con process Explorer, supe donde se encontraba, sin embargo al llegar a la carpeta en la que se suponía que estaba el mencionado archivo, me tope con muchos archivos exe, zip, tmp entre otros, pero ninguno era mi blanco. Claro que elimine todos esos archivos que sin duda alguna eran parte de la infección. El hecho de que el ejecutable se encontrara en esa carpeta, pero que no fuera visible, me hizo suponer que teníamos un típico cazo de rootkit, el cual solo ocultaba el archivo, pero no el ejecutable. Sin más hice algo que aprendí hace tiempo atrás, que es ejecutar un comando el cual llena el archivo con otro contenido, concretamente seria a así:
Echo > svchost.exe
Lo cual debería de haber bastado, pero en este caso me devolvió un Acceso denegado, lo cual me hizo suponer que alguien más lo estaba cargando. Cuando vi esto, reinicie la maquina en modo seguro, sin embargo obtuve el mismo resultado, pero esta vez intente algo más, usar el comando
Copy con svchost.exe
Todos los procesos se comportaban de una forma normal, hasta que llegue al LimeWare, que sin importar cuantas veces lo terminara, este volvía a ser ejecutado por otro proceso hasta el momento desconocido. Cuando trate de borrar el limeware de forma manual y no conseguir hacerlo, me dije, hay que traer la caballeria pesada, así que fui a mi computadora y baje el process Explorer, actor seguido revise quien estaba lanzando el proceso del limeware y lo pause, y así, termine el limewire y fui y borre la carpeta en la que este estaba instalado. El siguiente paso era deshacerse del proceso, que tenia un nombre bien Microsoft, un nombre que fácilmente se confunde con un proceso bien conocido en Windows, me refiero a svchost.exe, claro que ya con process Explorer, supe donde se encontraba, sin embargo al llegar a la carpeta en la que se suponía que estaba el mencionado archivo, me tope con muchos archivos exe, zip, tmp entre otros, pero ninguno era mi blanco. Claro que elimine todos esos archivos que sin duda alguna eran parte de la infección. El hecho de que el ejecutable se encontrara en esa carpeta, pero que no fuera visible, me hizo suponer que teníamos un típico cazo de rootkit, el cual solo ocultaba el archivo, pero no el ejecutable. Sin más hice algo que aprendí hace tiempo atrás, que es ejecutar un comando el cual llena el archivo con otro contenido, concretamente seria a así:
Echo > svchost.exe
Lo cual debería de haber bastado, pero en este caso me devolvió un Acceso denegado, lo cual me hizo suponer que alguien más lo estaba cargando. Cuando vi esto, reinicie la maquina en modo seguro, sin embargo obtuve el mismo resultado, pero esta vez intente algo más, usar el comando
Copy con svchost.exe
Y luego usar el Ctrl - Z, para guardarlo, lo cual mando un mensaje de error de I/O. No estoy seguro de si el rootkit no protegió bien el archivo o que paso, el chiste es que cuando reinicie la computadora el archivo ya no estaba en ejecución. Sin embargo la barra de herramientas se seguía desapareciendo, y cuando revise con el process Explorer, descubrí que lo que estaba pasando era que Explorer.exe se estaba reiniciando, tal vez tratando de usar Internet, no se que cosa obscura intentaría hacer el virus. Como en otras ocasiones en que me he topado con vundo, me puse a buscar alguna dll con algún nombre extraño o que estuviera encriptada, cosa que no me tomo mucho tiempo, ya que process Explorer rápidamente me dio el nombre de la culpable. Eliminar una dll que es cargada por muchos de los programas que se encuentran en ejecución, no es nada común, pero en este caso no dio mucha lata, es sencillo, primero hay que tumbar todos los ejecutables que usan la dll, en este caso unos 10, luego tumbar Explorer.exe y por ultimo desde la línea de comandos un simple del archivo.dll bastará para solucionar el problema.
Ya sin todos los archivos de la infección, baje el autoruns, y le borre muchas cosas innecesarias, como MyWebSearchBar, entre otras.
Como podemos ver vundo no es nada del otro mundo, y eliminarlo no nos debería de tomar más de 1 hora, claro siempre y cuando sepamos lo que estamos haciendo.
No tengo la menor duda de que la computadora se va a volver a infectar, sobre todo si los hábitos de navegación no son muy bueno, ha y sobre todo si no se tiene un antivirus instalado.
Una cosa que me he resuelto, al menos para mi, es el porque cada vez que buscas algo en limewire, siempre aparecen resultados, no importa lo que uno busque, siempre hay resultados. Si bien me quedaba muy en claro que se trataba de virus, no sabia la forma concreta en que estos funcionaban, ahora lo se, y uno de los que posiblemente usen esta estrategia es el vundo.
Saludos
Employee Tracking, Track Stolen Laptop, Trace Notebook dijo:
Hi nice blog! keep it up. This blog provides most informatics information.