Cuando pruebes software que viene de fuentes non santas o sin verificar, correlo en una m\u00e1quina virtual… como qemu u otro.<\/p>\n
Bueno me precio de que hace mucho que mi m\u00e1quina de escritorio no se ha infectado de ninguna cosa… en fin estuve buscando evaluar un programa para recuperar informaci\u00f3n de memorias flash \/usb\/ CF, etc. Bueno ejecute un par en mi lap… directamente con el antivirus (avira) activado y debo decir que pesque un trojano bastante interesante flec006.exe<\/a> un proceso que no pod\u00eda matar, que tuvo a bien desactivar mi antivirus e insertarse como parte del anillo 0 de !Windows XP!, en otras palabras que intentar bajar algun ejecutable para removerlo resultaba en que lo que descargaba se contaminaba.<\/p>\n Bueno de la b\u00fasqueda en google me encontr\u00e9 con una descripcion mas o menos de donde se mete y como se oculta, result\u00f3 que un par de herramientas mencionadas en foros, nomas le hicieron cosquillas (he de mencionar que en esa maquina tengo alguna informaci\u00f3n financiera que en cualquier otro caso me hubiera llevado a tener que cambiar las contrase\u00f1as de un par de sitios, pero estoy usando ccrypt<\/a> desde hace algun tiempo, ya que no conf\u00edo en la encripci\u00f3n de win – y por que en cierta maquina con home edition me di cuenta que ni incluyen encripci\u00f3n, si se que truecrypt es m\u00e1s user friendly, pero me gusto mas ccrypt-) bueno decidido a tirar la cosa est\u00e1 directito a entrar al modo seguro, resulta que este malware tiene la bondad de modificar el modo seguro para mandar un BSOD. Fant\u00e1stico, entonces pues a buscar en el registro como se ejecuta (si, sin respaldar el mismo, recuerdenme mi propio quote of the day de hace un par de d\u00edas) y lo encontr\u00e9, pero recordando el articulo de trend micro<\/a> me encontr\u00e9 que se podr\u00eda poner en much\u00edsimos lugares m\u00e1s, bueno di por perdida la batalla esa noche, puesto que tambi\u00e9n ten\u00eda que exponer en pocas horas.<\/p>\n Como nota aparte no es una queja con avira, puesto que es un Antivirus que me gusta mucho (tanto que de hecho me anime a pagar la licencia del premium, por que el costo no se me hizo excesivo y ha mantenido la lap de Jo limpia de madrolas, claro que con cierta costumizaci\u00f3n de mi parte -que recomiendo, primera acci\u00f3n desinfectar, segunda eliminar, no hacer preguntas, revisar medios removibles, etc.) pero el hecho es que en la oficina se utiliza Nod32 y las ultimas 3 semanas la usb que utilizo all\u00e1 ha regresado casi 2 veces por semana con trojanos que no detecta el Nod32 y que mucho menos elimina, antes de eso estuvimos usando f-secure, que terminamos cambiando por la enorme cantidad de recursos que necesita y a que virus muy comunes se le estaban escapando, como a\u00f1adido varias maquinas de reciente compra ven\u00edan con el mcafee de fabrica y puedo decir que sale peor, en alguna de estas maquinas le dedique casi una hora a desinstalar el mismo y colocar el nod32 para poder eliminar la cantidad de cosas que ten\u00edan, eso mas el spyware, que normalmente no toma en cuenta el AV, ha hecho que maquinas bastante respetables Dell GX280 1GB RAM, Pentium IV 3.1GHZ se arranen y al menos una fuente paso a mejor vida (probablemente por un fallo en el ventilador)… bueno todo este choro para decir que ultimamente he visto que los antivirus estan realmente perdiendo la batalla… parecen coladeras.<\/p>\n En fin veamos que herramientas se pueden usar para esto, ya que estando en un entorno contaminado descontaminar resulta realmente dificil… me encontre BartPE<\/a> que permite construir un livecd de Windows, digamos que el builder ha mejorado muchisimo, pero el soporte para dispositivos de red a\u00fan deja mucho que desear, no hablemos de correr aplicaciones que requieran ser instaladas, no est\u00e1 t\u00e1n dificil, pero no es para quien tiene prisa y mucho menos para alguien que esta sufriendo una infecci\u00f3n de un virus\/malware\/trojan\/spyware despues de 2 builds y de no lograr levantar la tarjeta de red broadcom, lei en su foro que el Ultimate boot disk cd for Win (UBCD4WIN)<\/a> incluia todo lo que estaba tratando de hacer al BartPE… bueno es diferente descargar 3MB a 255MB sin embargo el procedimiento es muy similar (para cualquiera de los dos requieren tener el disco de instalaci\u00f3n de win o su iso) este ultimo incluye Avast, Avira y spybot entre los programas que mete en el livecd.<\/p>\n Aunque claro la soluci\u00f3n m\u00e1s rapida y que ya prepare desde el momento en que me entere de que esto no solo era trojano sino downloader y que a\u00f1adia plugins, bueno lo primero fue borrar todo lo de firefox (a\u00fan cuando uso password para proteger los passwords) y borrar el directorio que tengo encriptado en esa maquina (que tengo bajo subversion al igual que el de trabajo de la oficina) una vez hecho eso, empece con toda la saga que escribo arriba, por cierto que hice una copia de los archivos de mis usuarios a mi particion con Debian (vaya que ha mejorado el soporte para NTFS, no lo he probado con utf8, pero al menos con iso8859 no me permitio borrar algunas cosas con acentos), ya teniendo esa copia, es probable que formatee esa partici\u00f3n y termine reinstalando XP… (una ventaja tambien de tener un service tag de dell y todos los drivers necesarios, he de mencionar que esa maquina venia con Vista Basic), he de mencionar que tambien probe utilizar f-prot desde linux, el cual no logro hacer gran cosa.<\/p>\n En fin a\u00fan cuando data de antes de que comenzara este blog por mucho, algo similar en cuanto a desmadrar mi maquina en fechas de entrega de tesis me paso en la licenciatura, en aquella epoca por querer probar una utileria libre para mover particiones y poder instalar linux… (all\u00e1 por 1999)… hoy d\u00eda leccion aprendida.<\/p>\n 1) Mis archivos de tesis estan bajo control de versiones y el mismo tiene un respaldo que no esta fisicamente cercano (en USA).<\/p>\n 2) Mi informaci\u00f3n importante se encuentra cifrada con ccrypt y los passwords de Firefox est\u00e1n protegidos con un master password (en algun momento solo use el cifrado de win, que es transparente al usuario, pero en mi pc mas viejita eso es realmente lento y debe ser inutil en el caso de una infecci\u00f3n de trojano).<\/p>\n 3) Cuento con m\u00e1s de una maquina, esto cuando estaba haciendo la licenciatura, realmente me creo un problema tremendo, que culmino con la perdida total de la versi\u00f3n digital de la misma, ademas de con unas conclusiones que no tuvieron toda la atenci\u00f3n que debieran haber tenido.<\/p>\n 4) Debo usar una maquina virtual, me cuesta menos trabajo hacer un cp Winxp a Win.test y lanzar qemu, que tener que reinstalar una maquina real (digo con los discos de ahora que es hacer una copia de 2GB de la imagen nada m\u00e1s para probar).<\/p>\n Es curioso que el primer mandamiento de los antivirus de anta\u00f1o \u00abutilice un disco de arranque que sea construido en un entorno que no este comprometido\u00bb, ya no aplique, recuerdo haber leido esto en la epoca de Viruscan en MSDOS. Cuando se hablaba de Cairo y lo que seria posteriormente Win95, (acabo de notar que el Avira en la opci\u00f3n de extras, tiene la posibilidad de descargar un bootcd), en fin es realmente curioso que los antivirus actuales lo ofrezcan como un extra y no como un requisito para poder mantener el sistema limpio eso mas que por ahi lei que los nuevos rootkits van a ser m\u00e1s dificiles de encontrar (si as\u00ed estan los trojanos, va a ponerse buena la cosa, pronto).<\/p>\n Update 2:38pm El CD de Avira, esta basado en linux… usa isolinux + busybox + NTFS-3G todo esto GPL2 de hecho dice en el propio about, que para todas las partes que son GPL del mismo el fuente esta disponible contactando a support arroba avira punto com.<\/p>\n Update 3:04pm Worm Bagle<\/a> fue de lo que me dejo este bicho, por cierto remplazando el driver del touchpad (synaptics) y probablemente este fue el culpable de desactivar el AV en combinaci\u00f3n con el otro, v\u00eda el UBCD con el spybot localice 6 entradas en el registro al bagle y al menos 2 binarios en system32\/drivers infectados, el bootdisk de avira encontro el de synaptics, se extra\u00f1a el poder hacer un renice y darle mayor prioridad al scanner ;D<\/p>\n Update 4:17pm Yo aqui pensando en que esta cosa se esta tardando mucho y ahorita le muevo al teclado me entero que ha encontrado muchas m\u00e1s ocurrencias de los trojanos (en recycler y en sytem volume information) pero que adem\u00e1s est\u00e1 scaneando mi sistema linux!, por eso es que se esta llevando much\u00edsimo mas tiempo del que pense, no conte con que nativamente tendria soporte para ext3 :D, me parece que con mucho el bootcd de avira se lleva las palmas.<\/p>\n Update 6:18pm Termino Avira de scannear renombro muchisimos archivos, para eliminaci\u00f3n como mencione antes tambien reviso mis particiones ext3 y encontro una \u00abfirma\u00bb rara en mi john the ripper… sin embargo ya estuvo bien de jugar… como ya tengo una copia de lo que tenian mis usuarios (2) en esta maquina, voy a formatearla.<\/p>\n Update 9:40pm Termine de recrear la partici\u00f3n, instalar win y poner todos los drivers de mi maquina, ah y poner el service pack 3… (2 horas y un cacho para hacer eso…mhh no estar\u00eda mal hacer una imagen) me faltan un buen de cosas, pero por el otro lado me deshice de un mont\u00f3n de software que ya no usaba. Tambi\u00e9n le he dado una revisada al texto a\u00f1adido comas y corregido es iso 8859 para el charset.<\/p>\n","protected":false},"excerpt":{"rendered":" Cuando pruebes software que viene de fuentes non santas o sin verificar, correlo en una m\u00e1quina virtual… como qemu u otro. Bueno me precio de que hace mucho que mi m\u00e1quina de escritorio no se ha infectado de ninguna cosa… … Sigue leyendo