Vundo round 2 (al fin muerto)
Lo peor realmente que puede hacer cualquier fulano que no tenga la lágrima fácil (como dijera mi estimado flaco Sabina) es cantar victoria antes de tiempo. En mi anterior post, contaba con emoción (ahora desencanto) que logré erradicar el AdWare (quizá Spyware), troyano Vundo, en una de sus nuevas variantes.
Pues bien, no lo había hecho. Simplemente eliminé la variante menos necia del dichoso Vundo, y después de dejar mi equipo un rato desatendido (estaba haciendo servicio a otros dos equipos mientras veía en compañía de un par de amigos Prison Break, tercera temporada) me di cuenta que el maldito Vundo había tomado control de mi equipo. Cuando una chorrada de estas pasa, hay dos opciones: o reacciono como imbecil y destruyo todo a mi alrededor (esto sucede el 99% de las veces) o uso mi razonamiento para deducir las probables causas del problema. O al menos las soluciones.
Pian pianito, google otra vez al rescate, encontré otra herramienta: ComboFIX, que hace lo que el anterior, pero con unos cuantos códigos maliciosos más. Dadas las circunstancias, versión de HiJackThis! portable de pormedio, y todo en su pendrive muy guay me puse a INTENTAR eliminar el Vundo.
Así, cada vez que corría el sistema de eliminación, encontraba que cuando reiniciaba, el equipo era poseído por los demonios de la V. Así que, recordando algo que el IDM (gestor que uso para el IE, y solo para el IE) me avisó (oye, que si te quieres bajar este archivo de esta dirección) en compañía del pantallazo rojo del NOD32, decidí hacer lo siguiente:
1. Con HiJackThis! me hice un log de los procesos en memoria. El dichoso es un BHO sin nombre (no name), en un archivo DLL.
2. Reinicié en modo a prueba de fallos, y me hice de una herramienta más: FileASSASSIN también portable.
3. Al reiniciar en modo a prueba de fallos, me permití eliminar el bicho con el FileASSASSIN, a través del sistema de reinicio (el otro sistema bloqueó el ordenata y me dio un susto de miedo).
4. DESCONECTANDO FISICAMENTE INTERNET (o puede que deshabilitando la conexión de red, pero no lo he probado) inicio una vez más Windows y corro el ComboFIX. Si todo va como debe NO DEBERIA REINICIAR (que de malo nada tiene reiniciar cuando todo esto acabe, pero es la señal del cielo para saber que no la hemos cagado).
5. En el infrme, las líneas finales deben ser más o menos como estas:
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-20 05:11:35
Windows 5.1.2600 Service Pack 2 NTFSescaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0**************************************************************************
.
--------------------- DLLs cargados bajo los procesos en ejecución
PROCESS: C:WINDOWSsystem32lsass.exe [5.01.2600.2180]
-> C:Archivos de programaEsetpr_imon.dll
.
Tiempo completado: 2007-12-20 5:12:24
C:ComboFix2.txt ... 2007-12-20 04:36
Y por último, revisar una vez con el HiJackThis! que no tengamos el BHO de la muerte.
Obviamente, si tienes más infecciones (procuro andar de desconfiado en la vida) encontrarás seguramente más BHO's y procesos que cargan al inicio. Así que hacer un análisis de lo que está en disco duro para revisar posibles infecciones extra.
Espero que mi manera tan adormilada de escribir no los haya confundido, pero son las 5:40 por este lado del planeta, y solo pienso en dormir.
Hasta la otra.