Soy un virus!!!

Y todo por publicar determinada información sobre diversos virus que me he ido encontrando en unidades extraíbles infectadas tras haber sido utilizadas en equipos públicos bajo Sistema Operativo Windows…

Por ello no me queda otra opción que eliminar dicha información de las entradas etiquetas con autorun.inf y maldecir a Avast por las visitas que me haya podido quitar por no hablar de la mala imagen que este antivirus le haya podido dar a mi blog así como a wordpress.com, servicio bajo el cual se encuentra este blog.

PD1. Espero que Avast pueda recompensarme de alguna forma ^.^

PD2. Gracias a Saimon por el aviso

Esto les pasa por guarrillos..

.. y guarrillas porque desde hace unas horas me estoy encontrando en múltiples muros de chicos y chicas el enlace que nos invita a ver un supuesto vídeo donde se aprecian un par de chicas dándolo todo como se suele decir ^.^
Al hacer click nos lleva a la dirección http://descargarapida.es/lol/ tal y como se aprecia en la imagen si bien simula seguir dentro de facebook para que los guarrillos y guarrillas confirmen ser mayores de edad haciendo no uno sino dos clicks en “Jaa” lo cual imagino ejecutará algún tipo de script que infectará de alguna manera el equipo..

Facebook – Video: Chicas borrachas en la piscina

NO ME GUSTA = GUAU 2.0 (Virus Facebook)

Si bien estos últimos días se propagaba un gusano/virus/troyano a través de Facebook con el mensaje que muchos habréis visto por vuestros muros similar a ¡GUAU! 56 horas en Facebook este mes y 456 personas han visto mi perfil.. hoy a empezado a aparecer una “variante” con el siguiente texto:

“Que bien, Facebook ha puesto por fin el boton NO ME GUSTA, si quieres tenerlo tu tambien pulsa en el boton que sale aqui abajo, que dice Instalar NO ME GUSTA.”

El funcionamiento, el mismo: nos redirige a una página en la que nos pide meter un código ejecutable en nuestro navegador (javascript) con lo que quedamos automáticamente infectados pudiendo incluso (seguramente) pasar a formar parte de una red de Zombies o Botnets (http://es.wikipedia.org/wiki/Botnet).

Por ello aquellos que hayan ejecutado el código javascript en su navegador (que por lo que he visto en mi muro sois muchos), ya os podéis ir planteando buscar a un técnico informático que os arregle el equipo antes de que el daño sea irreversible..

¡GUAU! 56 horas en Facebook este mes y 456 personas han visto mi perfil..

Y con este mensaje el gusano/virus/troyano está circulando de muro a muro en el Facebook:

¡GUAU! No puedo creer que estuviera 56 horas en el Facebook este mes, y parece que 456 personas han visto mi perfil. Usa el boton de abajo para escanear tu perfil ahora y vamos a ver lo popular que eres TU.

Aquellos que lo reciban que no visiten el vínculo Scan Profile y menos aún ejecuten el script copiándolo en la barra de direcciones del explorador como nos solicita la página, y esto último no debemos hacerlo nunca a menos de que estemos muy seguros de lo que hace el script..

Nuevo autorun.inf encontrado (ZLATO\suvo.exe)

Está comprobado: es conectar un pendrive en un windows “descuidado” para que te lo devuelvan con un autorun.inf

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

He subido el virus a virustotal.com para analizarlo y por lo visto no había sido subido/analizado antes como me ha pasado en otras ocasiones, así que entiendo/imagino que es un virus relativamente nuevo (ver análisis realizado).

De los que más conozco, el único que no lo ha reconocido ha sido Avira Antivir que casualmente es el que me habían recomendado mucho últimamente, de hecho es uno de los que ocupa las primeras posiciones en las últimas comparativas que he leído.

Otro aspecto a destacar es que es detectado por Comodo, el cual hasta donde yo se es de los pocos o de los únicos que es gratuito también para uso comercial, por lo que es viable usarlo en empresas sin estar incumpliendo su licencia, aunque tampoco la he leído y muy posiblemente sea solo una estrategia comercial. De hecho la última vez que lo probé recuerdo haber notado un cambio en la política de gratuito al menos en el pack con firewall, o eso quiero recordar…

Sea como sea lo que no me entiendo muy bien es porqué para cada antivirus el bixito tiene un nombre distinto: con lo fácil que sería bautilizarlo y hacerle un DNIe =)

Mención especial a Clamav por ser el único libre/abierto razón por la que todos deberíamos apostar/apoyar para mejorar/avanzar en su desarrollo. A ver si le incorporan a la versión windows análisis heurístico y entonces ya si que no me planteo alternativa que valga, porque aunque en este caso parece que no lo hubiera detectado, avira antivir tampoco… ¿no?. Por cierto ¿qué antivirus usáis?.

Os dejo las referencias a las últimas comparativas que he ojeado últimamente:

• zonavirus.com
• electrorincon.com
• bitelia.com

Virus again: método papelera (recycler)

Hoy de nuevo me he topado con un aUtOrUn.inf en uno de mis pendrives, siendo el contenido el siguiente:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

En la carpeta Early\life hay un desktop.ini con el siguiente contenido:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

Este tipo de virus/troyanos utiliza el llamado (o traducido) “método papelera”, que consiste básicamente en, a través del dektop.ini, mostrarnos la papelera de reciclaje de nuestro sistema en caso de que intentáramos ver el contenido de la carpeta (Early/life en este caso).

He probado a pasarle el clamav al archivo UpDaTe.exe con objeto de ver de que “tipo de virus” se trata, pero no me ha detectado nada, por lo que de momento no se lo que hace, pero hay antecedentes de troyanos tipo recycler que permiten tomar cierto control de la máquina infectada y ocasionan cortes de internet, cuelgues inesperados, etc…. casualmente algunos de los síntomas que se están experimentando en en lugar en el que he “capturado” dicho ejemplar….

[Actualización]

Al final para ver de que tipo de virus se trata, he optado por utilizar unos servicios online que permiten cargar un archivo para que sea examinado con diversos motores antivirus y en efecto, posee código malicioso, como era de esperar.

Los servicios que he encontrado (y probado) son virustotal.com y virusscan.jotti.org y los resultados obtenidos han sido este y este. Lo extraño (o no), es que los equipos infectados tienen el Panda, y según estas webs el panda sí reconoce este tipo de virus/troyano.

Además por curiosidad he ojeado el ejecutable con un editor hexadecimal para ver si era capaz de obtener información interesante, y de lo poco que he conseguido deducir es una referencia a C:\WINDOWS\system32\msvbvm60.dll, aunque no se si será por haber sido esta “alterada” o simplemente por ser utilizada por el ejecutable…

En resumen, que habría que probar a desinfectarlo utilizando diversos antivirus o bien buscando el procedimiento “manual”, lo cual creo que voy a obviar y delegar estas tareas a los antivirus que para eso están, y que en parte es lo que podría haber echo desde el principio, pero la verdad es que me apetecía curiosear un poco ^.^

Early\life

¡¡¡Que suerte, tengo un virus!!!

Bueno, en realidad no es que yo lo tenga, es que me lo he traído en un pendrive para analizarlo y erradicarlo de su lugar de origen ) La verdad es que me gusta hacerlo a menudo… cuando se que un equipo está infectado le meto mi llave USB y me lo traigo a casa para verlo con calma, y es que me proporciona una satisfacción enorme meterle un virus al equipo sabiendo que este no se va a inmutar.

Este tipo de virus/troyanos se lanzan a través del archivo autorun.inf y se transfiere a cualquier unidad extraible que insertemos. En Windows (sistema operativo para el cual están desarrollados estos virus), estos archivos no se ven ya que permanecen ocultos como si archivos “de sistema” se tratasen. Incluso algunos de ellos desactivan las opciones de mostrar archivos de sistema y protegidos para así pasar desapercibidos, aunque siempre hay formas de detectarlos. En este caso concreto, fue tan sencillo como que una vez insertado un “pincho” USB, el sistema no dejaba desmontarlo puesto que estaba en uso, seguramente por la transferencia del virus al pendrive y por que parece que el proceso explorer es una parte infectada del equipo.

WOW, Virus en Facebook

Al parecer, esta mañana ha empezado a circular un virus informático a través de Facebook, de hecho gran parte de la mañana no me ha dejado entrar por problemas de mantenimiento, por lo que imagino que han estado solucionando el problema.

Por lo que he visto en distintos perfiles, parece que se añade a los muros de los contactos, pero no a todos por que a mí no me ha aparecido y tengo contactos “infectados” a los cuales, por lo que me han dicho, sus antivirus le avisan de la infección pero no le dejan eliminarla. Yo he intentado cargarlo pero lo único que se me ve es la imagen del enlace, no se si porque ya lo han detectado y eliminado (tras la detención del servicio por parte de Facebook), o por utilizar un Sistema Operativo “Inmune” a este tipo de infecciones absurdas (GNU/Linux).

Sea como fuere parece que Facebook no está a salvo de virus (al menos en lo que a forma de transmisión se refiere), y con ella resto de redes sociales, web 2.0, software como servicio, etc.

¿Qué dice tu archivo C:\autorun.inf?

Muchos virus, troyanos, gusanos, spyware y derivados utilizan este archivo para ejecutarse al inicio.

Este archivo generalmente viene por defecto en medios extraíbles como CD’s o USB’s que necesitan ejecutar alguna acción al conectarse (por ejemplo ejecutar alguna aplicación, cargar un icono determinado, etc.)

Sin embargo en nuestro disco duro no es habitual que esté, y si esta posiblemente sea debido a una infección de nuestro sistema. Se trata de una archivo de texto plano por lo que podemos verlo con cualquier editor de textos como es Notepad (Bloc de notas).

Para verlo podemos o bien meternos a mostrar los archivos ocultos y protegidos del sistema para posteriormente abrirlo con un editor de textos, lo cual no siempre funciona ya que me he cruzado con algunos virus que desactivan la opción de mostrar estos archivos ocultos, o bien intentar abrir el archivo a partir de su ruta completa. Para aquellos que desconfíen, decirles que abrir un archivo de texto con un editor de textos no ejecuta el archivo, solo lo muestra. No obstante debería darte igual, puesto que ya tienes el autorun.inf seguramente sea porque ya estás infectado y más que ejecutado.

Para abrirlo directamente con Notepad podemos usar dos formas:

1. Abrimos el notepad, en menú elegimos archivo abrir y en el título escribimos la ruta completa: C:\autorun.inf
2. En la opción ejecutar del menú (o tecla Win+R) escribimos notepad C:\autorun.inf

En caso de no existir en la primera opción dará simplemente un error de que no lo encuentra mientras que en la segunda nos dirá que no existe y la posibilidad de crearlo, a lo que diremos que no.

Si por el contrario está y muestra “caracteres extraños” es posible que tengamos una pequeña infección y ya tendremos por donde empezar a buscar )

Personalmente el último que me he encontrado ejecutaba un archivo llamado fun.xls.exe o algo así (entre otras cosas).

Por último aclarar que el no tener el archivo autorun.inf no significa que no tengamos virus. Además el archivo autorun.inf en sí no es el virus, sino que simplemente es el archivo encargado de ejecutarlo. Además borrar este archivo generalmente no sirve de nada puesto que el registro suele tener entradas para restaurarlo en cada reinicio. No obstante no está de más probar, aunque tampoco sería mala idea ir hacindo copias de seguridad, pasando diversos antivirus y spyware e incluso preparando una nueva instalación puesto que en muchos casos el sistema no se vuelve a restaurar al 100% tras una infección.

[es.wikipedia.org] ~$ Autorun

Recién instalado Windows ¿qué tardan menos, los virus o las actualizaciones?

Viendo una noticia en 20minutos.es me he acordado de las medidas que tomaba antes de reinstalar en los tiempos en los que usaba Windows, en su versión XP.

Ya he comentado por alguna entrada que tenía la manía/necesidad de formatear cada tres meses, porque notaba una disminución importante en el rendimiento del equipo, y esto es así y no creo que nadie se atreva a negarlo.

Cuando quería formatear, previamente me bajaba el último antivirus y firewall que en ese momento estuviera usando (recuerdo ZoneAlarm y BitDefender, que a día de hoy no se como estarán). Los guardaba en un pendrive y entonces desconectaba el cable de la red, y procedía con la reinstalación desde CD.

Decir que los pasos intermedios de configuración de red, hora y demás los podían cambiar al principio de la instalación (como hace Linux) o bien al final, porque que se te queda una instalación colgada hasta que subas de la playa no es precisamente “desatendida”.

Una vez había terminado la instalación, la cual duraba bastante más de lo deseable, tenía que instalar todos los controladores, lo que venían siendo cuatro o cinco cd’s con sus respectivos reinicios, algunos como el de la placa base con dos o tres para el solito, y posteriormente instalar antivirus y firewall.

Esto lo hacía porque si se me ocurría conectar el equipo a la red antes de instalarle las medidas mínimas de seguridad (medidas mínimas para Windows) se infectaba de forma automática, no recuerdo con que virus pero si que me acuerdo de varios intentos para actualizar el equipo corriendo recién instalado pero nunca me dio tiempo…

Ya una vez conectado el cable, te conectabas al Windows Update, porque si esperabas que lo hiciera solo te podían dar las uvas. Entonces ya pues lo ponías a descargar e instalar las tropecientas actualizaciones que habían salido, y te ibas a tomar café, la playa, o cualquier otra afición y/o entretenimiento que tuvieras pendiente porque aquello duraba mínimo toda una mañana/tarde.

Ya cuando esto había terminado nos podíamos poner a…. ¿jugar al solitario? porque prácticamente el Sistema Operativo no viene con nada más, y te tenías que poner a instalar el paquete ofimático, programas de diseño, impresoras pdf, compresores para formatos que no sean zip, codecs, edición de audio y vídeo, aplicaciones p2p… en resumen ¡todo!, porque lo que viene es una basura y hasta el reproductor de medios lo cambiaba por el winamp.

En resumen, cada vez que tenía que reinstalar una máquina en Windows, y dejarla operativa para el día a día, me suponía un día de trabajo. Con una distribución de GNU/Linux tardo 30 o 45 minutos en dejarlo listo y operativo.

Una maravilla de la técnología…

Los ordenadores con Windows sin actualizar sólo tardan cuatro minutos en ser infectados – 20minutos.es