Consultas varias sobre el Virut, versión de febrero

[Umbriel]

Bueno, tras estar dando vueltas por el foro, vengo a plantear varias dudas que tengo rondándome la cabeza en torno a este pequeño mamonazo que es el Virut. Os pongo antes en situación.

El sábado pasado el equipo empezó a funcionar "raro" tras probar un crack, cosa que me mosqueó mucho porque el Nod32 no detectó absolutamente nada raro de ese crack ya que lo analicé previamente. Tras mil formateos, reinstalaciones y demás acciones hasta ayer por la noche, no conseguí tener el sistema limpio de nuevo con todo instalado, principalmente sacando programas de instalación de cds, dvds y el portatil que usualmente no está conectado nunca a internet. Ahora [b]creo[/b] casi de seguro que estoy limpio, al menos en el sistema, ya que dos de los principales sintomas de infección que tenía eran el error al arrancar el equipo de las Daemon Tools (salía una ventana con un error diciendo algo sobre no permitir que se autoejecuten las dlls), el error también de una pequeña utilidad que uso llamada DeskPins (para mantener una ventana seleccionada concreta siemrpe encima) y una manifiesta inestabilidad en el equipo. Y ahora no solo no me dan problemas, si no que no veo ningún proceso en ejecución "extraño" o que no pueda identificar (antes se cargaba un proceso llamado reader_s.exe y dos IEXPLORER.exe, cuando no lo uso, prefiero Firefox). Además, entre otras cosas, he decidido además dejar de lado el Nod32 y cambiar al Avast!, ya que la menos hasta ahora el Avast! ha detectado algo raro que al Nod se le escapaba.

Las dudas son las siguientes.

He detectado un archivo mio html en el cual se ha añadido un código extra que te manda a esta dirección: "h[i]xx[/i]p://jL.chura.pl/rc/", que bloquea el Avast! (El Nod ni se enteraba). ¿Este código se añade en todos los htmls que localice o solamente en los que se hayan ejecutado?

Mas. Hasta ahora no me ha quedado muy claro si el Virut corrompe absolutamente todos los exe que vea en el equipo, o solo los que se ejecuten mientras dure la infección, o lo anterior mas todos los del sistema. Lo digo porque tengo la típica carpeta con programas de instalación en una partición distinta de C (por no olvidar la partición de instalación de juegos) y no se si debo desechar todo y empezar a bajar de nuevo o solo lo que haya ejecutado. La he testeado completa con el Avast en un analisis previo al arranque y no ha detectado nada, pero aun no he usado nada de su interior por miedo a que haya algo corrupto. Por ejemplo, recuerdo que instalé el Paint Shop Pro 9, pero por mucho que haya analizado la carpeta de los archivos de instalación, el Avast! no detecta nada (aunque, por ejemplo, cuando hice el analisis de profundidad en la instalación limpia de Avast!, en las carpetas de la papelera y de system volume information si saco exe corruptos a cascoporro).

Otra. Los exe encapsulados en archivos zip o rar ¿también los corrompe? ¿Y los rar con auto extracción en exe? ¿puede también con los ejecutables antiguos, para msdos y similares?

Y para terminar ¿que antivirus live cd me recomendais para hacer un análisis a profundidad y que pille a este cabroncete de virus? ¿hay alguna otra zona o archivo de "riesgo" en la que haya podido copiarse?

En cerca de 14 años que llevo metido en este mundillo, esta es la segunda vez que tengo un problema grave de infección. y al igual que la primera, con un virus que se autocopia en los ejecutables... en fin, a ver si podeis ayudarme, que esto me tiene con la cabeza loca y medio paranoico por si vuelvo a infectarme.

[msc hotline sat]

El autor del Tema dice:



"el equipo empezó a funcionar "raro" tras probar un crack"



Hace falta decir todavía mas que no deben probarse cracks, keygens y similares ??? Si despues de 14 años de tarbajar con ordenadores, aun actuas así, mejor cambies el chip !







Nosotros trabajamos con McAfee y con el LIVE CD que entregamos a los asociados a nuestros servicios tecnicos, que ya integra el VirusScan para Linux, se arranca con él y se soluciona el VIRUT o lo que sea.



Como se ve que eres bastante experto, tu mismo, te descargas una trial de cualquier antivirus para Linux, sea el de McAfee o el que prefieras, y arrancando con un LIVE CD, lo lanzas sobre la unidad infectada y la limpias.



Y otro método sería colocando el disco infectado como esclavo de otro limpio, y arrancando con el MASTER, lanzar su antivirus sobre el esclavo.



El VIRUT es un mal bicho, del que hay variantes a cual peor, y lo que puedan hacer dependerá de la variante en cuestion, e incluso puede que haya algunas aun no controladas, pues ultimamente hemos tenido varios casos, parcticamente los unicos que actualmente infectan son el VIRUT, el Chir, y el Sality , y, de Perú, el Gaelicum... ninguno deseable !



saludos



ms, 18-3-2009

[Umbriel]

Gracias por la info. Pero una cosa, al final infecta a todos los exe de todos los discos duros/particiones o solo a los que se hayan ejecutado? Mi principal duda es esa, para ver si tengo que desechar mi carpeta completa de programas y la de juegos o puedo salvar los que no haya usado.

[msc hotline sat]

Infecta todas los EXE de las carpetas a las que accedas, sin necesidad de abrir los ficheros.



Pero si haces lo indicado y los limpias todos de todas partes, te quedaran inutiles los que tengan checksum, como nuestras utilidades, ya que al limpiarlos no tienen porqué quedar identico como los originales... pero los ficheros autoprotegidos con checksum son una minoría, los cuales deben ser sustituidos por los originales si una vez desinfectados no funcionan o indican haber sido modificados.



Y como siempre, algun fichero sin checksum tampoco podrá ser ejecutado, por no conservar copia de la cabecera original, voluntaria o involuntariamente ...



saludos



ms, 18-3-2009

[Umbriel]

Entonces, si lo he entendido bien, en las carpetas en las que no me haya metido durante la infección, o por las que no haya pasado, los exe no estarán dañados. Es que eso representa que mas del 90% del material susceptible no estaría dañado, includas las carpetas de los juegos, que no usé en ese tiempo (como si hubiese tenido tiempo con el dolor de cabeza que ha sido el virut).

Muchísimas gracias, ya estaba preocupado porque el Avast! no me detectase nada en la carpeta de programas y era porque tal vez estuviesen limpios (los que daba por corrompidos ya los borré o sustituí por copias limpias desde cds/dvds). Voy a pasar un par de antivirus online también en las carpetas de riesgo por si acaso y borrar todo el material que pueda recuperar de cds o dvds para mayor seguridad, pero en principio parece que he podido solventar la crisis.

Gracias de nuevo. :wink:

PD: una pregunta un poco tonta que se me ha ocurrido. El virut ¿detecta que un archivo es un ejecutable por ver su extensión o porque es capaz de a traves del código detectar que es un exe? Me explico, pongamos el caso hipotético de que renombro el archivo "cualquiera.exe" a "cualquiera.oxo", por ejemplo, y tras ello me infecto con el virut. Si entro en la carpeta donde está ese "cualquiera.oxo" ¿el virut lo corrompería? Parece una tontería, pero si no lo hiciese, mientras voy testeando todo archivo de riesgo, puedo ir "protegiendo" temporalmente de esta forma todo ejecutable que sepa que está limpio para mayor seguridad. Solo si funcionase, claro. :|

[msc hotline sat]

Supongo que lo hace segun la extension, no creo que pierda el tiempo mirando todas las extensiones, es lo mismo que hacemos cuando escaneamos, solo miramos ficheros de determinadas extensiones, para ir mas deprisa.



Pero la cuestion es que pases el antivirus a todas partes y no quede ningun VIRUT vivo :mrgreen:



saludos



ms, 19-3-2009