::Pim pom PAPAS!::

Como ustedes sabrán, el virus/gusano Conficker es uno de los más peligrosos de la historia. Además de ser sumamente interesante por las diferentes técnicas que utiliza, pero eso lo dejamos del lado de los programadores que estamos un poco locos.

El problema del famoso gusano es que, si bien no deshabilita los antivirus, sí deshabilita el acceso a los servidores de dichos software (y sus actualizaciones), con lo que pasa desapercibido pero se permite a sí mismo seguir atacando, mayormente de manera anónima.

Además, la mayor parte de su peligrosidad radica en que “llama a casa”, pudiendo enviar información confidencial, descargando nuevo malware y actualizándose a sí mismo. Le decía de esto último a un amigo que antes acostumbrábamos actualizar el antivirus, y ahora actualizamos el virus.

Pues bien, existe un método para prevenir los efectos adversos aun cuando el gusano ya exista en nuestros equipos. Tiene que ver con lo que recomendaba anoche para los usuarios de la BAM, y es cambiar los servidores IP “por defecto” de nuestras conexiones de internet. Mientras ayer hablaba de conexiones tipo Dial Up Networking (marcado telefónico), este método puede ser usado en cualquier router, o tipo de conexión. Es decir, si nosotros tenemos un módem-router aDSL, podremos configurarlo para utilizar este servicio.

Cabe decir que OpenDNS es un servicio gratuito, abierto y transparente, por lo que podremos estar seguros que nuestra información transita segura, además decir que los DNS no reciben información personal en ningún momento (cuando mucho, nuestra IP), pero sí puede decidir qué contenido es malicioso o no.

Este nuevo servicio lo encontré vía el blog de OpenDNS, donde además llevan una interesante estadística geográfica del porcentaje de infecciones.

Todo lo que deben saber, está en OpenDNS. ¡Saludos!

Tecnología, informática e internet aprendizaje, conficker, dns, dsl, estándares, internet, recomendaciones, servidores, tecnología, virus

Lo peor realmente que puede hacer cualquier fulano que no tenga la lágrima fácil (como dijera mi estimado flaco Sabina) es cantar victoria antes de tiempo. En mi anterior post, contaba con emoción (ahora desencanto) que logré erradicar el AdWare (quizá Spyware), troyano Vundo, en una de sus nuevas variantes.

Pues bien, no lo había hecho. Simplemente eliminé la variante menos necia del dichoso Vundo, y después de dejar mi equipo un rato desatendido (estaba haciendo servicio a otros dos equipos mientras veía en compañía de un par de amigos Prison Break, tercera temporada) me di cuenta que el maldito Vundo había tomado control de mi equipo. Cuando una chorrada de estas pasa, hay dos opciones: o reacciono como imbecil y destruyo todo a mi alrededor (esto sucede el 99% de las veces) o uso mi razonamiento para deducir las probables causas del problema. O al menos las soluciones.

Pian pianito, google otra vez al rescate, encontré otra herramienta: ComboFIX, que hace lo que el anterior, pero con unos cuantos códigos maliciosos más. Dadas las circunstancias, versión de HiJackThis! portable de pormedio, y todo en su pendrive muy guay me puse a INTENTAR eliminar el Vundo.

Así, cada vez que corría el sistema de eliminación, encontraba que cuando reiniciaba, el equipo era poseído por los demonios de la V. Así que, recordando algo que el IDM (gestor que uso para el IE, y solo para el IE) me avisó (oye, que si te quieres bajar este archivo de esta dirección) en compañía del pantallazo rojo del NOD32, decidí hacer lo siguiente:

1. Con HiJackThis! me hice un log de los procesos en memoria. El dichoso es un BHO sin nombre (no name), en un archivo DLL.

2. Reinicié en modo a prueba de fallos, y me hice de una herramienta más: FileASSASSIN también portable.

3. Al reiniciar en modo a prueba de fallos, me permití eliminar el bicho con el FileASSASSIN, a través del sistema de reinicio (el otro sistema bloqueó el ordenata y me dio un susto de miedo).

4. DESCONECTANDO FISICAMENTE INTERNET (o puede que deshabilitando la conexión de red, pero no lo he probado) inicio una vez más Windows y corro el ComboFIX. Si todo va como debe NO DEBERIA REINICIAR (que de malo nada tiene reiniciar cuando todo esto acabe, pero es la señal del cielo para saber que no la hemos cagado).

5. En el infrme, las líneas finales deben ser más o menos como estas:

catchme 0.3.1333 W2K/XP/Vista – rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-20 05:11:35
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos …

escaneando entradas ocultas de autostart …

escaneando archivos ocultos …

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
——————— DLLs cargados bajo los procesos en ejecución ———————

PROCESS: C:WINDOWSsystem32lsass.exe [5.01.2600.2180]
-> C:Archivos de programaEsetpr_imon.dll
.
Tiempo completado: 2007-12-20 5:12:24
C:ComboFix2.txt … 2007-12-20 04:36

Y por último, revisar una vez con el HiJackThis! que no tengamos el BHO de la muerte.

Obviamente, si tienes más infecciones (procuro andar de desconfiado en la vida) encontrarás seguramente más BHO’s y procesos que cargan al inicio. Así que hacer un análisis de lo que está en disco duro para revisar posibles infecciones extra.

Espero que mi manera tan adormilada de escribir no los haya confundido, pero son las 5:40 por este lado del planeta, y solo pienso en dormir.

Hasta la otra.

Tecnología, informática e internet aprendizaje, fallos, internet, oficina, seguridad, trabajo, virus

Hoy, no sé gracias a qué tarado que de alguna manera trató de utilizar mi equipo, doy cuenta de uno de los virus que jamás pensé que pudieran darme problemas: Vundo.

Vundo, según la información de Symantec, es un adware que permite mostrar anuncios en formato popup, (supongo que pupunder) y se contagia al utilizar páginas contaminadas o abrir un correo electrónico contaminado.

Así que, dadas las circunstancias, procedí a googlear mi problema, y la solución es más bien sencilla.

Primero, gracias a HiJackThis! logré ver en el log los archivos que puse en el título, así que me dispuse a googlear el primer nombre (awvvs.dll) y encontré el nombre del adware, así que seguí mi andanza internetesca. Y encontré la herramienda VundoFix.

Esta herramienta (en constante actualización), me permitió eliminar con unos cuantos clics el problema.

Quizá este sea el problema que estoy teniendo con Internet, que de unos dos o tres días para acá me desconecta muy frecuentemente le modem (un 2wire) de internet y ayer (por ¿coincidencia?) me apareció que tenía un password que yo no puse.

Cuidado, quizá este adware también sea spyware.

Tecnología, informática e internet fallos, internet, méxico, recomendaciones, seguridad, tecnología, virus

No sé como clasificarlo, si como spyware, adware… definitivamente malware.

Hoy mi computadora cogió una infección. Primeramente, me di cuenta debido a que quería cambiar mi página de inicio (a Mbusca.com). Pero como no lo aceptaba (esto gracias al nuevo Internet Explorer 7), comencé a pensar en los gusanos de Internet.

Al abrir mi Administrador de tareas de Windows (Ctlr+Alt+Supr o bien Ctrl+shift+Esc), encontré dos procesos “bandidos”: IEXPLORER.EXE (intentando engañar al usuario con Internet Explorer, cuyo proceso es iexplore.exe, distinguiéndose por las mayúsculas y por la r final), y RUNDDLL32.EXE (igualmente intentando confundirlo con rundll32 y rundll32.exe, distinguiéndose además de las mayúsculas, por la doble d).

Al no ser reconocidos por mi antivirus (aun en este momento no entiendo cómo enviar un archivo sospechoso) que es NOD32 y que está al día en las actualizaciones, opté por los siguientes pasos:

1. Ejecuté (Inicio-Ejecutar o bien Tecla Windows+R) msconfig
2. Eliminé los procesos que mencioné anteriormente (por alguna causa, IEXPLORER.EXE no estaba en la lista) de la lista de programas que se ejecutan al inicio.
3. Dejé que se reiniciara el equipo INMEDIATAMENTE.
4. Al reiniciar el equipo, utilicé el PrcView (Process Viewer, freeware), para saber qué procesos estaban iniciados. Si tienes experiencia en revisar procesos, sabrás cuáles procesos se cargan regularmente y cuales no. Si eres inexperto, tendrás que apoyarte en alguien con más experiencia, para distinguir cuales procesos son “bandidos” y cuales no. Inicialmente, con buscar a nuestros dos amigos que mencioné antes, será suficiente.
5. En mi caso, los procesos no se ejecutaron más. Dado el caso que estuvieran en memoria, tendrías que seleccionar el proceso en memoria y, con clic secundario, abrir el menú contextual, de donde seleccionarás “kill”.
6. Busca los archivos antes mencionados (Inicio-Buscar o bien Tecla Windows-F) y elimínalos con shift y tecla de eliminar.

Recomendaría que ejecuten una vez más msconfig para verificar que no se haya instalado nada nuevo.

Para mí funcionó. Tengo una tesis de dónde vino el archivo, pero siempre recomiendo que no instalen nada de programadores que no conocen.

Salu2

Tecnología, informática e internet internet, seguridad, tecnología, virus