Estado: con las manos frías y los cachetes calientes
Siento: ganas de que sean las 9 :P
Estoy escuchando: Segismundo Toxicómano>Escapa>Por tí
Bajando: Espero que no más viruses >.< Jugando: PES - OdinMS - GunZ (Prysmax) - CS
Leyendo: ---
Trabajando en: Mi juego!!! *se cae el cielo* - Mi trabajo xD
Me acordé el password del blog! (?)
Después de estar sin PC más de una semana porque un amigo de mi hermano me quemó no sólo mi mother, sino el mother que me compró por haberme quemado el primero (que según los del servicio técnico al que terminó enviando la PC era un problema con la fuente, cosa inexplicables si las hay, porque él nada más sacó y puso mis RAM y mi placa de video), mi PC volvió, pero acompañada.
Desde el momento en el que me puse a investigar por qué mi PC estaba increíblemente más lenta desde que me la devolvieron que antes, no pude dejar de notar los siguientes síntomas:
1)Lo dicho, la PC se ponía increíblemente lenta de a ratos...
2) El explorer (explorer.exe) se colgaba solo, tirando el error ese de "Explorer.exe ha detectado un problema y debe cerrarse", el del botón de "No enviar" (algo MUY raro xDDD).
Los que conozcan las bondades de Windows, no se van a ver asombrados por ésto hasta que les diga que se tildaba consecutivamente 5 veces en 30 segundos o menos xD
3) Al ejecutar de nuevo explorer.exe, salía una ventanita similar a ésta:
(Más adelante se van a enterar de qué se trata)
4) En una investigación más profunda, encontré... PROCESOS! Procesos y ejecutables por todos lados, que después confirmé que eran bajados por el mismo virus (siempre lo supuse), que se conecta a servidores y descarga muchos exes que pega por todos lados.
Entre los ejecutables, recuerdo que figuraban:
Winhelp.exe (C:\WINDOWS)
SETUP.exe (Ubicaciones varias y variables, en mi caso: D:\ y D:\Half-Life\Valve)
lsasss.exe (un amigo, el sasser)
svchost2.exe (C:\WINDOWS\System32)
shit.exe (C:\WINDOWS)
fagg0t.exe (C:\)
nortonav.exe (C:\RECYCLER, C:\Documents And Settings\*)
iexplore.exe (creado para ejecutarse en lugar de mIErda, modifica la entrada del registro de windows que asocia el Interet Explorer con el exe original y lo cambia por éste; C:\RECYCLER, C:\Documents And Settings\*)
Dc7.exe (C:\RECYCLER\S-1-5-21-1220945662-1060284298-682003330-1007)
icq.exe(C:\WINDOWS\System32 -yo no tengo el ICQ xD)
ICQs_Jimboo.exe (http://mitglied.lycos.de/komaproductionz/-seguramente el icq.exe lo quizo bajar)
Nota: el * indica que no me acuerdo en qué subcarpeta estaba xD lo único que recuerdo es que no estaba muy escondido, ya que llendo a borrar los temporales (por las dudas xD) me los crucé
También me bajó varios virus de msn de esos que mandan archivos/urls automáticamente, pero no llegaron a actuar, porque borré los zips (que ahora en lugar de un .com o un .bat, contienen un .pif, otro formato maravilla del winblows -.-)
5)La carpeta RECYCLER en mi mp3.
El virus se copia a todas las unidades, ya sean locales o extraíbles. Cuando conecté el mp3 para cargarlo el fin de semana pasado, se creó en él el directorio RECYCLER y un archivo llamado
autorun.inf cuyo contenido hacía referencia al directorio RECYCLER y cargaba el ejecutable con el virus.
A decir verdad, ésto fue más una ayuda que algo que me joda, porque al final fue la clave para que me diera cuenta de cómo funcionaba y cómo borrarlo.
También había notado dos cosas más, que empezaron a pasar después de que mi mp3 estaba infectado y en un principio no las asocié con el virus, pero después me enteré de que eran por él:
6) El ícono de la unidad extraíble no es el de una unidad, sino el de una carpeta común y corriente
7) Windows no te deja detener el mp3 cuando vas a retirarlo. Si tratás de usar la utilidad esa para remover el mp3 con seguridad, te larga un mensaje de error diciendo "Windows no ha podido detener Volúmen Genérico (H:). Inténtelo nuevamente" o algo por el estilo, y si simplemente lo sacás, te queda en MI PC la unidad con un ícono de disco con un signo de pregunta blanco sobre un circulito rojo.
8) El directorio RECYCLER de todas las unidades locales tiene más de un archivo, aún si la papelera de reciclaje está vacía. Sin embargo, usa un formato de archivo propio del windows, que es el de los elementos eliminados. Es un formato (no sé si llamarlo formato, los archivos no tenían extensión) que es capaz de contener más archivos (por lo que deduzco que se trata no de un archivo, sino de un tipo especial de carpeta), y hace referencia a la papelera de reciclaje (de hecho, tiene el mismo ícono que la papelera cuando está vacía). Dentro del directorio RECYCLER en mi mp3, había un elemento de éste tipo, y el autorun.inf lo ejecutaba.
Nota: digo mp3 por comodidad y costumbre, pero funciona de la misma forma con todas las unidades extraíbles.
¿Cómo funciona el virus?Lo peor es que no sé cómo se me metió, ni cómo mierda se ejecutó la primera vez, que es lo más importante, pero bueno xD.
La cosa es que se ejecuta y se "inyecta" en el explorer.exe. Nótese que el "inyecta" lo pongo entre comillas, porque no se inyecta literalmente, sino que se adjunta. Cuando se te tilda el explorer es cuando actúa. Supongo que al tratar de hacerlo mientras está funcionando es que se tilda, y mientras está el proceso cerrado se adjunta, la cosa es que lo hace, y cuando volvés a abrir el explorer, ves un mensajito como el que puse arriba en la foto. CREO (porque hoy en día, y más tratándose de windows -xD- uno nunca sabe xD) que no es posible modificar un exe del winblows, por eso digo que se adjuntan y no que se modifican, porque se puede modificar el registro para que el explorer.exe use más archivos.
El virus usa el directorio RECYCLER de las unidades locales (el directorio de la papelera de reciclaje. Cuando borrás un archivo en realidad lo estás mandando a uno de éstos directorios, y un archivo cuyo nombre no recuerdo ahora, guarda los datos de nombre, ubicación antigua, etc.), que está oculto y es del sistema, para guardarse. Desde ahí, una vez adjuntado, se ejecutaba, se volvía un servicio (según leí, no recuerdo que eso pasara, aunque también leí que hace que el explorer no te lo muestre ni en la lista de servicios ni en la del startup).
Después de que se ejecuta, empieza a hacer sus cosas, entre las que recuerdo que figuraran:
- Conectarse a servidores locos para bajar más exes con virus
- Meterlos en ést@s archivos/carpetas dentro de RECYCLER para que no los detectes buscándolos
- Modificar el registro para ejecutarlos
- Bajar éstos iexplore.exe y nortonav.exe truchos y reemplazar en las entradas de registro respectivas la ruta de los archivos originales por las de los exes truchos
En fin... todo lo que dije arriba, y las cosas que no habré notado xD
¿Cómo eliminarlo?Me cago en:
NOD32
TuneUp utilities (no tanto, su process manager me ayudó bastante)
Spybot Search & Destroy (no tanto, me detectó el IRC bot)
Ninguno hizo bien su trabajo, ni actualizados a fecha, ni en modo a prueba de fallos, ni si bailaba en calzones arriba de la mesa... tuve que borrarlo a mano -.-
Primero lo borré del mp3:
Despúes de considerar mi máquina limpia, conectar el mp3, y ver que se infectó de nuevo... 2+2 son 4, si veo un directorio raro en mi mp3... es que mi mp3 está infectado. La falencia es que podés decirle a windows que un directorio o archivo están ocultos, pero no al mp3, y yo podía ver que había una carpeta llamada RECYCLER navegando el ROOT del mp3 desde el mismo.
Simplemente borré el directorio RECYCLER y el autorun.inf y desconecté el mp3 antes de que se vuelvan a crear.
Bonus track: cuando conectás el mp3 te sale la ventanita del windows de la ejecución automática. Si accedés a él mediante las opciones de ésta ventanita es que se ejecuta el autorun.inf. Una posible (para mí lo es, pero no lo pude comprobar) es crear vos un autorun.inf vacío, y ponerlo oculto y sólo lectura, así por más que se copie no se va a ejecutar. Supongo que ésto lo soluciona, pero no estoy seguro, ya que según tengo entendido desde el cmd se le pueden sacar atributos a un archivo, así que...
Los ejecutables rarosSimplemente los fui borrando a medida que los encontraba. Algo útil para ésto es ordenar los archivos por fecha (Click derecho>Organizar íconos>modificado), y borrar los exes desconfiables que sea seguro que sobren.
Nota: no hagan ésto si no conocen bastante acerca de los exes que usa el windows... porque pueden borrar algo que sirva de verdad, aunque si prestan suma atención a la fecha en la que fue modificado el exe, se van a dar cuenta cuáles borrar y cuáles no (sino es culpa suya, no mía xD)
Además tengan en cuenta que muchos de los exes se ejecutan desde la carpeta RECYCLER, así que creo que no los van a encontrar con el buscador de windows y se van a volver locos como yo -.-
El ise32.exeÉste se ejecutaba desde mi mp3, y desde C:\RECYCLER\Recycler\
S-1-5-21-1482476501-1644491937-682003330-1013,
por lo que no lo van a encontrar buscándolo. Para borrarlo, tienen que:
1) En una ventana del explorador de windows vayan a Herramientas>Opciones de carpeta...>Pestaña "Ver"
2) Marquen la casilla que les permita ver los archivos ocultos
3) Desmarquen la casilla que oculta los archivos de sistema
4) Reinicien en modo a prueba de fallos
5) Vayan a C:\RECYCLER y borren todo lo que haya adentro (si tienen más de una una partición o más de un disco, van a tener un directorio RECYCLER en cada uno de ellos, así que vayan también a esas carpetas)
Eso es lo que hice yo, pero encontré métodos más "académicos" (por no decir menos brutos xD), que listo a continuación :3
Análisis del virus RECYCLER - MyGeekSide (la que más me convenció)como elimiar ise32.exe - Chiled2kMalware removal tool - by :: SmartGenius :: - Foro ElHackerObviamente, después de eso, a pasar el Ccleaner para borrar todos los datos locos del registro, etc...
En fin... eso es todo por ahora... ya les voy a hablar de los misfits cuando tenga más info (fotos, etc xD)
Nombre: Luciano
