Cuando pruebes software que viene de fuentes non santas o sin verificar, correlo en una máquina virtual… como qemu u otro.
Bueno me precio de que hace mucho que mi máquina de escritorio no se ha infectado de ninguna cosa… en fin estuve buscando evaluar un programa para recuperar información de memorias flash /usb/ CF, etc. Bueno ejecute un par en mi lap… directamente con el antivirus (avira) activado y debo decir que pesque un trojano bastante interesante flec006.exe un proceso que no podía matar, que tuvo a bien desactivar mi antivirus e insertarse como parte del anillo 0 de !Windows XP!, en otras palabras que intentar bajar algun ejecutable para removerlo resultaba en que lo que descargaba se contaminaba.
Bueno de la búsqueda en google me encontré con una descripcion mas o menos de donde se mete y como se oculta, resultó que un par de herramientas mencionadas en foros, nomas le hicieron cosquillas (he de mencionar que en esa maquina tengo alguna información financiera que en cualquier otro caso me hubiera llevado a tener que cambiar las contraseñas de un par de sitios, pero estoy usando ccrypt desde hace algun tiempo, ya que no confío en la encripción de win – y por que en cierta maquina con home edition me di cuenta que ni incluyen encripción, si se que truecrypt es más user friendly, pero me gusto mas ccrypt-) bueno decidido a tirar la cosa está directito a entrar al modo seguro, resulta que este malware tiene la bondad de modificar el modo seguro para mandar un BSOD. Fantástico, entonces pues a buscar en el registro como se ejecuta (si, sin respaldar el mismo, recuerdenme mi propio quote of the day de hace un par de días) y lo encontré, pero recordando el articulo de trend micro me encontré que se podría poner en muchísimos lugares más, bueno di por perdida la batalla esa noche, puesto que también tenía que exponer en pocas horas.
Como nota aparte no es una queja con avira, puesto que es un Antivirus que me gusta mucho (tanto que de hecho me anime a pagar la licencia del premium, por que el costo no se me hizo excesivo y ha mantenido la lap de Jo limpia de madrolas, claro que con cierta costumización de mi parte -que recomiendo, primera acción desinfectar, segunda eliminar, no hacer preguntas, revisar medios removibles, etc.) pero el hecho es que en la oficina se utiliza Nod32 y las ultimas 3 semanas la usb que utilizo allá ha regresado casi 2 veces por semana con trojanos que no detecta el Nod32 y que mucho menos elimina, antes de eso estuvimos usando f-secure, que terminamos cambiando por la enorme cantidad de recursos que necesita y a que virus muy comunes se le estaban escapando, como añadido varias maquinas de reciente compra venían con el mcafee de fabrica y puedo decir que sale peor, en alguna de estas maquinas le dedique casi una hora a desinstalar el mismo y colocar el nod32 para poder eliminar la cantidad de cosas que tenían, eso mas el spyware, que normalmente no toma en cuenta el AV, ha hecho que maquinas bastante respetables Dell GX280 1GB RAM, Pentium IV 3.1GHZ se arranen y al menos una fuente paso a mejor vida (probablemente por un fallo en el ventilador)… bueno todo este choro para decir que ultimamente he visto que los antivirus estan realmente perdiendo la batalla… parecen coladeras.
En fin veamos que herramientas se pueden usar para esto, ya que estando en un entorno contaminado descontaminar resulta realmente dificil… me encontre BartPE que permite construir un livecd de Windows, digamos que el builder ha mejorado muchisimo, pero el soporte para dispositivos de red aún deja mucho que desear, no hablemos de correr aplicaciones que requieran ser instaladas, no está tán dificil, pero no es para quien tiene prisa y mucho menos para alguien que esta sufriendo una infección de un virus/malware/trojan/spyware despues de 2 builds y de no lograr levantar la tarjeta de red broadcom, lei en su foro que el Ultimate boot disk cd for Win (UBCD4WIN) incluia todo lo que estaba tratando de hacer al BartPE… bueno es diferente descargar 3MB a 255MB sin embargo el procedimiento es muy similar (para cualquiera de los dos requieren tener el disco de instalación de win o su iso) este ultimo incluye Avast, Avira y spybot entre los programas que mete en el livecd.
Aunque claro la solución más rapida y que ya prepare desde el momento en que me entere de que esto no solo era trojano sino downloader y que añadia plugins, bueno lo primero fue borrar todo lo de firefox (aún cuando uso password para proteger los passwords) y borrar el directorio que tengo encriptado en esa maquina (que tengo bajo subversion al igual que el de trabajo de la oficina) una vez hecho eso, empece con toda la saga que escribo arriba, por cierto que hice una copia de los archivos de mis usuarios a mi particion con Debian (vaya que ha mejorado el soporte para NTFS, no lo he probado con utf8, pero al menos con iso8859 no me permitio borrar algunas cosas con acentos), ya teniendo esa copia, es probable que formatee esa partición y termine reinstalando XP… (una ventaja tambien de tener un service tag de dell y todos los drivers necesarios, he de mencionar que esa maquina venia con Vista Basic), he de mencionar que tambien probe utilizar f-prot desde linux, el cual no logro hacer gran cosa.
En fin aún cuando data de antes de que comenzara este blog por mucho, algo similar en cuanto a desmadrar mi maquina en fechas de entrega de tesis me paso en la licenciatura, en aquella epoca por querer probar una utileria libre para mover particiones y poder instalar linux… (allá por 1999)… hoy día leccion aprendida.
1) Mis archivos de tesis estan bajo control de versiones y el mismo tiene un respaldo que no esta fisicamente cercano (en USA).
2) Mi información importante se encuentra cifrada con ccrypt y los passwords de Firefox están protegidos con un master password (en algun momento solo use el cifrado de win, que es transparente al usuario, pero en mi pc mas viejita eso es realmente lento y debe ser inutil en el caso de una infección de trojano).
3) Cuento con más de una maquina, esto cuando estaba haciendo la licenciatura, realmente me creo un problema tremendo, que culmino con la perdida total de la versión digital de la misma, ademas de con unas conclusiones que no tuvieron toda la atención que debieran haber tenido.
4) Debo usar una maquina virtual, me cuesta menos trabajo hacer un cp Winxp a Win.test y lanzar qemu, que tener que reinstalar una maquina real (digo con los discos de ahora que es hacer una copia de 2GB de la imagen nada más para probar).
Es curioso que el primer mandamiento de los antivirus de antaño «utilice un disco de arranque que sea construido en un entorno que no este comprometido», ya no aplique, recuerdo haber leido esto en la epoca de Viruscan en MSDOS. Cuando se hablaba de Cairo y lo que seria posteriormente Win95, (acabo de notar que el Avira en la opción de extras, tiene la posibilidad de descargar un bootcd), en fin es realmente curioso que los antivirus actuales lo ofrezcan como un extra y no como un requisito para poder mantener el sistema limpio eso mas que por ahi lei que los nuevos rootkits van a ser más dificiles de encontrar (si así estan los trojanos, va a ponerse buena la cosa, pronto).
Update 2:38pm El CD de Avira, esta basado en linux… usa isolinux + busybox + NTFS-3G todo esto GPL2 de hecho dice en el propio about, que para todas las partes que son GPL del mismo el fuente esta disponible contactando a support arroba avira punto com.
Update 3:04pm Worm Bagle fue de lo que me dejo este bicho, por cierto remplazando el driver del touchpad (synaptics) y probablemente este fue el culpable de desactivar el AV en combinación con el otro, vía el UBCD con el spybot localice 6 entradas en el registro al bagle y al menos 2 binarios en system32/drivers infectados, el bootdisk de avira encontro el de synaptics, se extraña el poder hacer un renice y darle mayor prioridad al scanner ;D
Update 4:17pm Yo aqui pensando en que esta cosa se esta tardando mucho y ahorita le muevo al teclado me entero que ha encontrado muchas más ocurrencias de los trojanos (en recycler y en sytem volume information) pero que además está scaneando mi sistema linux!, por eso es que se esta llevando muchísimo mas tiempo del que pense, no conte con que nativamente tendria soporte para ext3 :D, me parece que con mucho el bootcd de avira se lleva las palmas.
Update 6:18pm Termino Avira de scannear renombro muchisimos archivos, para eliminación como mencione antes tambien reviso mis particiones ext3 y encontro una «firma» rara en mi john the ripper… sin embargo ya estuvo bien de jugar… como ya tengo una copia de lo que tenian mis usuarios (2) en esta maquina, voy a formatearla.
Update 9:40pm Termine de recrear la partición, instalar win y poner todos los drivers de mi maquina, ah y poner el service pack 3… (2 horas y un cacho para hacer eso…mhh no estaría mal hacer una imagen) me faltan un buen de cosas, pero por el otro lado me deshice de un montón de software que ya no usaba. También le he dado una revisada al texto añadido comas y corregido es iso 8859 para el charset.
Changoossss que pex con ese troyano y después de leer todo eso, de lo cual solo comprendà que …….. bueno algo le tuve que comprender. Ahora que no tendrá mi máquina la cual le da por jugar al indiana Jones visita lugares muy «exoticos» y de dudosa re-putación.
al leer todo tu post y actualizaciones, me recordaste el texto del pringao «se ve que lo disfruta si, miren sus ojos rojos» :p