Lucha con el Suspicious.

(publicado originalmente 13/7/2007)

Hacía mucho que no me pasaba, esas cuestiones de computadoras que te perforan la cabeza, te hacen poner mal, sentir que ya todo el SO está arruinado, que no funciona nada y lo poco que anda, lo hace mal, y que a su vez te da fuerzas y ganas para encontrar al solución y volver todo a la normalidad. La última vez que recordaba, me había sucedido algo así había sido alrededor de dos años atrás, precisamente en septiembre del 2005, y era con la Barra Azul del MSN Plus, fue la lucha más jodida con estas porquerías que se instalan sin autorización y sólo sirven para molestar y causar daño, aquella vez desinstalarla completamente me llevó entre dos y tres días completos, esa Barra es muy difícil de desinstalar y más cuando uno no conoce muy bien del tema (al menos en aquél tiempo pasado).

Pasada la medianoche, alguien por msn me pide que le recomiende una anti-spyware en castellano, tenía uno en inglés pero lo había eliminado porque no lo sabía utilizar (se refería al programa Ad-Adware)  

No lo dudé y le recomendé el Spybot Search & Destroy, un programa gratuito, muy bueno, con varias funciones y sobre todo en varios idiomas entre los cuales el castellano.

Ya que le acaba de recomendar el programa, se me dio por abrirlo, confiado en la seguridad de  mi PC, lo ejecuto a fin de eliminar algún Spyware que se haya colado como sucede a menudo, y el programa comienza a funcionar correctamente, empiezan a aparecen algunos Tracers de programas conocidos así que los paso por alto, y no le doy mayor importancia, como seguía escaneando y no aparecía nada nuevo, me aburría y me dispuse a cerrarlo.

Cuando estaba pronto a cerrarlo, se da a conocer el suspicious. “Suspicious” es una palabra que me da gracia, la usan muchos de los programas de seguridad informática, la había leído muchas veces, parece una palabrita simpática pero que se usa para definir programas/archivos dañinos. De ahí que la utilicé para el título de este mensaje.

Efectivamente, cuando me disponía a cerrar el Spybot, cancelando el escaneo de la PC, un archivo hace una petición de salida, el Firewall me da el alerta y cuando leo “hldrrr.exe” el aire ya me decía que algo andaba mal. Cerré el Spybot y al rato nuevamente más peticiones de salida, ahora eran archivos con extensión .exe cuyo nombre era solo un número de cinco cifras, eran aleatorios. Confirmado, algo malo había.

Intuyo, posiblemente equivocado, que el escaneo del Spybot de alguna manera “tocó” estos suspicious y despertaron dándose a conocer, desconozco cuanto hacía que estaban en la PC y como llegaron.

Inmediatamente acudo al buscador Google, tipeo el nombre del archivo y me todo me lleva a un virus, más bien un Gusano (Worm) de nombre Beagle, en realidad era una variante del mismo, no se bien si proceden de uno que se llama Beagle (lo más probable), el que yo tenía era una variante, su nombre preciso era el Bagle.aj .

A todo esto continuaban peticiones de salida, ya eran más los archivos sospechosos, los bloqueaba pero no le ponía “recordar” al Firewall, porque justamente tenía que saber que archivos eran los conflictivos, como no había tomado nota de cada uno, era probable que los olvide, mientras pedían salir, los tenía en la mira.

Los Gusanos (Worms) los denominaron así, justamente porque en la naturaleza, los gusanos son los únicos seres vivos hermafroditas, se reproducen solos, con estos virus sucede lo mismo, el Gusano llega, se instala en la PC, y solito se autoenvía  a otras PCs utilizando programas del usuario, por lo general los gestores de correo (mails) y los de mensajería instantánea (msn).

Me “reconfortó” un poco leer que este virus era de Peligrosidad Baja y Daño Medio. No se bien que parámetros utilizan para definir que es Bajo, que es Medio y que es Alto.

Espero no tener que sufrir efectos de este virus a futuro que aún no hay descubierto, pero los que ya viví fueron menores, más que afectar el Spybot y el reinicio en Modo a Prueba de Fallos (que luego comentaré), no sufrió nada más la PC.

Así que seguí un par de primeras instrucciones, (tengo mis severas dudas acerca de si estaba infectado con más de una variante del virus), consistían en eliminar la carpeta que crea el virus, carpeta de nombre “exefld” (C:\WINDOWS\exefld), en esta carpeta se encontraban los archivos con nombres numéricos aleatorios. Y luego eliminar una línea del registro, precisamente la carpeta "FirstRRRun" (HKEY_CURRENT_USER \Software \FirstRRRun) .

Listo, lo hago y reinicio muy contento de haber terminado con el problema.

No era así, ahí es cuando me doy cuenta que la carpeta se vuelve a crear, y las peticiones de salida comienzan nuevamente. Esto había demorado su tiempo, y parecía que había vuelto al comienzo.

Ya me empecé a preocupar, a leer un poco sobre le tema, el virus tiene sus años, lo crearon en el 2005. Empiezo a hacer escaneo con el antivirus y me daba que no estaba infectado, pasó el Ad-Aware y me tira algunos Tracer pero nada más, entonces ¿Por qué la carpeta se volvía a crear y continuaban las peticiones de salida de archivos extraños asociados con el virus?

A todo esto, yo había eliminando un par de líneas con el HijackThis y deshabilitado otro par con el Spybot, estas últimas fue un error porque eran de la impresora, de esto me di cuenta al reiniciar, así que procedí a habilitarlas nuevamente, y ahí ¡sorpresa! Tenía el Spybot desinstalado.

¿Pero cómo era posible? Me aparecían los íconos de acceso directo en blanco, indicio que no estaba el programa, voy a la carpeta donde esta instalado y ahí estaba, pero faltaban los ejecutables. Eso era raro, lo desinstalo completamente, lo vuelvo a instalar, y los ejecutables no se instalaban.

Gran problema, el programa que necesitaba y no lo podía instalar, el virus algo estaba haciendo que neutralizó una herramienta anti-spyware.

Se me ocurrió iniciar a Modo a Prueba de Fallos, y ¡oh sorpresa! , le doy al F8 y cuando va  a entrar en Modo a Prueba de Fallos se reiniciaba y volvía a entrar en modo normal. Esto último ya me desesperó, si no podía ingresar a Modo a Prueba de Fallos, el problema era grave, si por esa puta causalidad llegaba  a fallar el SO, se veía un futuro oscuro con el SO en general. Y si algo quería evitar, era el formateo total.

Entré a leer un poco más en internet, y encuentro un par de casos similares, pero no daban la solución precisa, pero en dos de los casos el final no fue el mejor, al no poder ingresar en Modo a Prueba de Fallos, a dos personas les recomendaron una solución que o fue la mejor, gracias a Dios que no se me pasó por la cabeza llevarla a cabo, porque sino iba a tener más que un dolor de cabeza, si a alguien le sucede algo similar, NO efectivizar el reinicio en  /SAFEMODE que suelen recomendar, por lo menos dejarlo como el último de los últimos recurso.

Este tema ya me exasperaba, pasaban las horas y en lugar de avanzar en la cura de la PC, cada vez encontraba más dificultades, no importa, un virus no podía ser imbatible, más cuando su peligrosidad era BAJA. Había que hacerlo talco.

Comienzo a escanear la PC con todo lo que tenía a mano, iba a destruir ese maldito virus lleve el tiempo que lleve. Así que arranqué escaneando con el Arrobas Antispyware, y nada más que un par de Trackers. Hago otro HijackThis y nada sospechoso. Había desinstalado el Ad-Aware pensando que existía incompatibilidad con el Spybot y de ahí que este último no se instalaba, pensamiento erróneo el mío. Encontré que tenía instalado un programa  de nombre Dr. Alex Anti-Spyware, lo pasó y me saltan seis porquerías (Trojan.Wlogo, Tooso.5, Wurmark.a, Bagle.aj y W32.Amca) las cuales eliminé. ¿Por qué este programa me detectaba todo eso y los demás no? Luego leyendo encontré que existía una relación entre el Toose.5 y el Bagle.aj. Había hecho una captura de pantalla de este acontecimiento pero la perdí. Continué limpiando una y otra vez el registro, optimizándolo. Luego actualicé y escaneé con el A-Squared Free, un excelente programa pero con pocas opciones a manejar por los usuarios, por lo menos en la versión gratuita, aunque en la última actualización tuvo mejoras en ese sentido, y este programa me encontró la cantidad de 160 Tracer lo cual me dejó con los ojos abiertos porque fue la mayor cantidad que me encontró un programa, y el último, el número 161 que no era un Tracer, era el virus Bagle. Inmediatamente procedí a la limpieza de muchos de ellos pero no todos los Tracers ya que algunos son programas que suelo utilizar. Luego me bajo un programa especialmente creado para limpiar dicho virus hecho por Symantec, y me da negativo, el virus ya no estaba.

Cuando ya me daba por satisfecho, había hecho un buen trabajo de limpieza y eliminación del Malware en cuestión, dispuesto a continuar con lo mío, me conecto a internet, muy contento y un archivo de nombre  “rosa.sys” ubicado en una carpeta de nombre “hidires” que pide salida a internet, ¡uhh no! ¡otra vez el problema!, no podía ser, algo estaba mal, los antivirus no detectaban presencia de virus, pero había algo que impedía la instalación del Spyboy y que creaba estos archivos que luego pedían salir a internet, ¿qué era? ¿dónde estaba? ¿Por qué no lo veía?.

Esta última pregunta me dio la respuesta, ¿por qué no lo veía?, existía la posibilidad de que haya algo escondido que estaba haciendo lo que luego me lamentaba. Efectivamente, y leyendo un poco más me doy por enterado de la existencia de los Rootkit, que si bien tienen su tiempo de existencia, solo una vez los había leído y nunca había conocido de algún caso, así que en un foro encuentro en una respuesta  aun mensaje la recomendación de dos programas para detectar los Rootkit, me los bajo, el AVG Anti-Rootkit Free y el  BlackLight Rootkit Eliminator, y es con este último que me encuentra 10 objetos ocultos, la primera vez que lo pasé no me animé a nada, la segunda renombré los 10 rootkit que encontró y listo, problema solucionado.

Los había enviado a la Papelera, y se daba el caso que para eliminarlos de la Papelera daba el mensaje  “Desea eliminar la carpeta C:\WINDOWS”  jaja daba miedo ese mensaje, y por supuesto que le decía que no, pero la solución era desde Ejecutar, tipear cmd y luego escribir “ rd /s /q X:\recycler ” sustituyendo X por la letra de la unidad. Para facilitar, antes de hacerlo, puse en Propiedad de Papelera “configurar una para todas particiones” y luego de eliminar la volví a configurar para unidades independientes. Todo salió bien.

Sólo me habían quedo un par de archivos temporales que no pude eliminar con Crtl + E, me bajé el programa a File Assassin para que neutralice cada uno de los archivos y así eliminarlos, pero no hubo caso, igual ya estaba libre del problema, el Spybot se instaló correctamente y habilité los dos archivos que había deshabilitado al comienzo, y ahora todo anda bien.

Atención: Si alguno llega por algún buscador a este texto por tener algún problema similar con algún virus o malware, busque la solución en web especializadas, cada virus tiene una solución diferente, y cada una de las posibles variantes de cada uno de los virus, también tiene una solución diferente, este texto puede servir a modo de orientación, pero no deja de ser una crónica.