Inmediatamente me arrepentí de mi acción, de inmediato el ratón se paralizó por dos segundos y la música que estaba escuchando también, para luego volver a su estado normal, el LED del disco duro comenzó a parpadear como loco y el rendimiento del PC bajó considerablemente.
Pero aún había más, en un momento mi Windows Live Messenger se volvió loco, comenzó a abrir y cerrar ventanas a lo bestia. Mientras yo veía mi Pc con asombro de pronto caí en la cuenta que el virus estaba intentando replicarse así que cerré el mensajero al instante, mis contactos me reportan mensajes como estos:
checa las fotos de lo que hizo este bruto
ya regrese de viaje, tome como 1000 fotos... literalmente
te mando las fotos de la cosa mas estupida que podras ver en tu vida
otro nivel la nube de humo del incendio que hubo a unas cuadras, te mando las fotos
y luego mandaba una dirección con un archivo de nombre photo00014-jajaja.zip, que apuntaba a mis archivos temporales, pude ingresar a la carpeta de temporales y localizar el archivo, al abrirlo me percaté que se trataba del virus pero camuflado de protector de pantalla (SCR) mira:
En ese momento intenté matar el proceso que lo había creado accediendo al administrador de tareas pero, ¡oh, sorpresa! el virus lo había deshabilitado, intenté entonces con el comando ejecutar y también estaba deshabilitado, por último me fui a la línea de comandos, pero esta herramienta también estaba deshabilitada...
intenté ir a las opciones de carpeta del menú herramientas de Mi PC pero ¡Sorpresa de sorpresas! La opción simplemente había desaparecido.
ya desesperado intenté herramientas más avanzadas, me fuí al TuneUp StartUp Manager (Utilidad que permite monitorizar los programas que se cargan al inicio de Windows) y me encontré con esto.
Así encontré el problema y me enteré se se llamaba symcfgsrv.exe, que tenía el ícono del visor de imágenes y fax de Windows, que se cargaba al inicio con el nombre Ap (Que más tarde cambiaría por Symantec Configuration Server) y que estaba en Windows/system32
Pero tenía el atributo de oculto, ¿Cómo hacerlo visible si el virus me había negado las herramientas para ello? ¡Por supuesto! con el RRT.
El RRT (Remove Restrictions Tool es una práctica utilidad que permite eliminar restricciones al sistema que por lo general causan algunos virus, como en este caso.
Abrí entonces el RRT y esto es lo que observé:
de modo que eso era, el virus había desactivado muchas de las herramientas de windows, entre ellas la de mostrar archivos ocultos, seleccióné todas ellas y le dije que las desbloquera, pero el virus era muy listo y las volvía a bloquear, pero por fortuna no lo hácía con la opción de ocultar archivos, de esa manera logré hacerlo visible.
me fui entonces a donde estaba el virus y traté de eliminarlo pero sin éxito, estaba bloqueado, así que ejecuté el Unlocker, pero fue incapaz de desbloquear al virus, cosa rara, porque siempre me había ayudado, así que no me quedó más remedio que intentar eliminarlo de forma ruda.
Descargué el Process explorer (Una utilidad para monitorizar procesos, muy superior al administrador de procesos de windows) e intenté abrirlo pero por alguna razón cada vez que intentaba abrirlo el virus lo cerraba, estaba enojado, así que fui al ejecutable y lo renombré a lo primero que se me ocurrió, (arr.exe), de esa manera me dejó abrirlo.
Cuando lo hice me llevé una extraña sorpresa, por alguna razón el proceso no estaba allí listado, pero eso sí, el virus estaba tratando de exterminar a mi antivirus (NOD32) acada vez que el antivirus se iniciaba el virus lo mataba y ese era un cuento de nunca acabar.
Si el proceso symcfgsrv.exe no se encontraba allí listado, lo más seguro es que estuviera usando algun puntero o manipulador (Handle) para ocultarse dentro de otro proceso, lo más probable es que fuera el explorer.exe. Así que dentro del process explorer me fui al menú find y seleccioné close handle or DLL y busqué al archivo symcfgsrv.exe, lo encontré efectivamente dentro de explorer.exe, así que cerré el handle, pero no sirvió de mucho porque el virus seguía aún en activo, cosa que me pareció bastante extraña.
Ese virus tenía una buena programación, de eso no había duda. Fue ahí mismo que se me ocurrió una genial idea, renombrar el ejecutable, eran tan simple como eso, otras veces ya había tenido éxito con este truco porque los virus parecen obviarlo, así que lo intenté, renombre el virus a symcfgsrv.exe.vir y apagué el pc oprimiendo el botón Reset.
Y funcionó, al renombrar y reiniciar el virus no se volvió a cargar. Cuando el pc se encendió el virus ya no se cargó así que pude ejecutar el RRT para eliminar las restricciones, el TuneUp StartUp Manager para eliminar la entrada de inicio que el virus había creado y cuanta demás herrameinta se me ocurrió para limpiar el sistema sin que el virus hasta el momento haya mostrado sus garras.
Envié una coía del virus a VirusTotal (Un servicio en el que puedes subir un archivo y te informa de la situación de este según distintos antivirus) para su análisis, y me llevé una nueva sorpresa:
Ningún antivirus más que el Ikarus lo tenía en su lista, por tanto era un virus nuevo y yo estaba siendo víctima de él por primera vez.
Creo que deberé probar el Ikarus, parece ser un buen antivirus.
El virus es muy listo, pone muchas restricciones al sistema, además detiene a muchos antivirus, incluso herramientas de detección como el HijackThis (Herramienta que analiza el sistema buscando modificaciones) son detenidas por el virus por lo que no se pueden usar, la solución más adecuada es renombrar una herramienta que el virus detenga, con esta sencilla práctica es posible engañar al virus para que permita ejecutarla.
Actualización: (06/09/08) A esta fecha ya el NOD32 detecta el archivo y permite elimnarlo, según VirusTotal a fecha de hoy aún siguen siendo poquísimos los antivirus que permiten eliminar este virus, por tanto hay que tener cuidado con las cosas que se reciben por el Messenger.
Recibí la invitación de tu archivo, pero es raro que me mandes algo sin avisarme o saludarme antes, y ante malas experiencias previas no acepte nada.. y luego t desconectaste.
ResponderEliminarEspero puedas solucionar sin problemas eso del fucking virus..
Eres super inteligente, no se podría poner todo lo que sabes en un chip y poder mandarmelo..
PORTATE BIEN MONCHIIIIIIIIIIIIII...
BAH.. UN POQUITO MAL..
SIGO ENVICIADA CON TU JUEGO.. YA T VOY A PODER PASAR.. JAJA
bESOS!!
Daniela..
hola, sos un capo man pero sabes hise lo que tu hiciste pero no me deja renombrar al virus, cuando le quiero cambiar el nombre me dice que no se puede porque el archivo esta en uso. :( que puedo hacer?
ResponderEliminarHola compañero... se ve que tienes craneo para esto...
ResponderEliminarhe corrido todo lo que mencionas pero me pasa igual que a deinier... en el momento de renombrar simplemente me dice que esta en uso y no me deja... que nos aconsejas hacer?
He creado una guía para esta eventualidad, espero les sea útil.
ResponderEliminarPuden verla aquí