Linux sirve hasta para arreglar MS Windows!

O de mi travesía con el Worm Esfury (o sería Brontox?) …

Estas son el tipo de cosas que te pasan cuando dices que eres informático y entonces comienzas la travesía de arreglarle la computadora a alguien (en este caso, a mi querida suegra).

El *Virus*

El caso ocurre porque el computador de mi suegra aún tiene MS Windows y aunque tenía par de antivirus y *siempre* se mantenía actualizado, le cayó uno de esos virus raros que dañan -INCLUSO- el modo a prueba de fallos y hacen colapsar a los Antivirus (probé con McAffe, Avira y Nod32), en este caso se trataba de una variante del gusano “Worm/Esfury” (ni me he preocupado en averigüar cual variante), lo cierto del caso es que estos eran los síntomas:

  • -falsificado- de directivas y políticas de grupo, eliminaba menú Ejecutar (también CTRL+R), no accedes a CRTL+ALT+SUPR ni al administrador de tareas
  • Bloqueado el acceso a las herramientas del registro de Windows
  • Eliminado el acceso a consola (cmd)
  • Todo ejecutable que *pudiera* ser catalogado como ataque para el virus, es cerrado automáticamente
  • No permite usar firefox
  • Si cargas Internet Explorer, pone como página de inicio una URL desde donde un activeX se descarga un payload para actualizar el propio virus
  • El sistema carga *incluso* en modo a prueba de fallos
  • Infecta a CUALQUIER versión de windows, incluyendo la 7 (capaz y hasta la 8! jajaja)
  • Cualquier dispositivo de almacenamiento USB que conectes al Windows, oculta todos los archivos y carpetas y los reemplaza con accesos directos (archivos .LNK)  a el payload del virus (que se copia oculto y con autorun en el pendrive).

Aunque obviamente hace ya muchísimo tiempo yo lograba entrar en modo a prueba de fallos y usar herramientas como el HickjackThis para eliminar el payload del virus, esta vez me fuí por una opción más “rápida” que andar haciendo circunvenciones para tratar de “ejecutar” alguna herramienta desde el propio MS Windows contaminado (léase: spy-bot search & destroy, malwarebytes, etc).

Yo quisiera saber ¿cómo es posible que algo descargado de Internet con Internet Explorer tenga capacidades de auto-ejecución y pueda cambiar administrativamente las políticas para hacer al sistema completamente inusable? …

Es que esta gente de Microsoft se quema las pestañas día a día para jodernos la paciencia …

En fin, la solución fué bastante sencilla.

(Hubiera querido que fuera instalar Linux, pero aun no logro evangelizar a mi suegra! xD)

La solución

De aquél experimento que hice de mezclar herramientas de chequeo y prueba en un USB stick, me ha quedado un arrancable de System Rescue desde el cual levanto una versión de Partimage Linux.

Actualizando el antivirus

Previamente me he descargado el último patrón de análisis del ClamAV y lo he copiado en la raíz del pendrive (incluyendo además a safebrowsing.cvd y bytecode.cvd), para ello he creado una carpeta en el pendrive llamada “av”.

quedando:

av/main.cvd
av/daily.cvd
av/bytecode.cvd
av/safebrowsing.cvd

E iniciamos el partImage desde nuestro pendrive.

Iniciando el ClamAV

Cuando termina de iniciar el PartImage, montamos la unidad de disco duro (se monta en /mnt/sda1 en mi caso) y luego ejecutamos el antivirus con:

clamscan -d /mnt/sdb1/av/ --recursive=yes /mnt/sda1

Y listo!, lo dejamos escaneando el disco duro por virus.

El Antivirus eliminará los payload, en mi caso no eliminó el que se copia siempre en /document and settings/Local Service/1/winlogon.exe así que lo eliminé manualmente (botón derecho > eliminar, nada del otro mundo si sabes usar LXDE!).

Reparando el Registro

Dentro del System Rescue viene una aplicación (freeware) llamada PC Regedit, que corre en Linux y permite editar el registro de Windows, lo he utilizado para reparar los daños causados por el virus/gusano, cuando inicia te pide que abras un archivo de registro, en este caso los archivos son:

en c:\windows\system32\config

system > HKEY LOCAL MACHINE

users > HKEY USERS

root > HKEY ROOT

Base de datos de usuarios > SAM

Y he revisado las zonas básicas donde casi todos los virus meten su basura:

HKLM/Software/Microsoft/Windows/current_version/run

o en:

HKLM/Software/Microsoft/Windows/Current_version/Explorer/Advanced/Policies

Y un sinfin de claves, que de eso si conseguirás listas en Internet de dónde se mete el virus.

Encontré de hecho una serie de archivos .reg (líneas de registro) para incorporar al registro y reparar “los daños” hechos por el Virus.

Luego de limpiado el virus y arreglado el registro, he reiniciado el equipo y este ha vuelto nuevamente a la normalidad.

Por precaución, cargué el gpedit (Group Policy Editor) y desactivé el autorun de los USB!, uno nunca sabe que otro regalito de virus le traerán a la computadora de la suegra!.

Nota final ¿y cómo arreglé el pendrive?

El primer pendrive que metí accidentalmente al equipo, todas sus carpetas fueron ocultas y sustituidas por “enlaces windows” (archivos LNK) pero la extensión de dicho archivo es en cualquier combinación de mayúsculas/minúsculas así que en la raíz del pendrive ejecuté en mi Linux:

rm -f *.{lnk,Lnk,lNK,LNK,LNk,lNk,lnK,LnK,lNK}

Esto elimina cualquier enlace Windows dentro del pendrive, no importa su extensión (grande consola!).

Luego, gracias a mattrib de Mtools (MS-DOS tools) (requieren tener el paquete mtools, gracias system Rescue los trae) podemos quitarle el bit “oculto” al archivo, para ello:

Abrimos el archivo /root/.mtoolsrc

agregamos:

drive s: file="/dev/sdc1"
mtools_skip_check=1

donde “file” apunta al -device- del pendrive.

Luego, lo “montamos” con mtools:

mdir s: 
Volume in drive S is TEST    Volume Serial Number is 86D5-0140
Directory for S:/
No files                      1 979 113 472 bytes free

 

Y ejecutamos el cambio de los bits “oculto”, “sistema” y archivo:

mattrib -h +a -s S:/*

Por último, eliminamos el autorun.inf y la carpeta completa a la que hace referencia (la reconocerán, es una larga secuencia de números y letras).

rm autorun.inf

Y listo!, habrán recuperado su pendrive!.

Acerca de phenobarbital

http://about.me/phenobarbital

Publicado el 18 octubre 2010 en Blogeando!, Cultura Libre, Linux, PlanetaLinux, Software Libre. Añade a favoritos el enlace permanente. 21 comentarios.

  1. jeeeje!}
    ¡¡Quisiera saber cual MS certified, hubiese logrado resolver semejante rollo. ;-)??

    en mi caso no me gusta jugar al pringao, pero a la suegra hay que tenerla feliz, objetivo cumplido jejejeje

    recomendacion mocosoft.. reinstala el sistema operativo _despues_ de respaldar el (con viruso incluido), no sea que dures mas de 6 meses con el computador bueno y no necesites hacer el upgrade a Windows 8😉

    • Jajaja cierto cierto! …
      Aun sigo sin entender como un virus puede tomar control de todo el sistema con el simple hecho de visitar una página web infectada … esto es absolutamente awesome! … xD

  2. Eso es parte del “místico” File System de MS Windows, el cual da permisos de ejecución “por defecto” a todo… Eso más un javascript que ejecute el archivo y tienes un bello sitio infectado.

    Recordemos que este tipo de gusanos están asociados a troyanos que permiten su inclusión en el Sistema Operativo aprovechando técnicas de RootKits para ello… Una vez logrado su cometido, se conectan un servidor para descargar el gusano que es, finalmente el que da los dolores de cabeza y transforma nuestro equipo en un zombie…

    Todo lo anterior es la definición de Botnet, una red de computadores zombies que son controladas a través de un centro de mando creado para ello… ¿Cuál es el motivo de todo esto? Generalmente las Botnets son alquiladas para aprovechar sus capacidades de procesamiento, por ejemplo para hacer ataques DDoS. Otra variante es aprovechar las capacidades de almacenamiento y el ancho de banda de la conexión a internet para establecer redes P2P para almacenamiento de contenido ilegal (información confidencial robada, material audiovisual ilegal, etc). Existen otros usos pueden ser la extracción de datos bancarios de las potenciales víctimas y el fraude por internet.

    Sólo una observación, *NO SIRVE DE NADA* tener un ejercito de Antimalware (mal llamados Antivirus) actualizados si el Sistema Operativo privativo no está actualizado. Por otra parte, existen algunos cracks/serials/patchs que hacen que las demos de estos productos funciones “teóricamente” forever, sin embargo muchos de estos archivos tienen en su interior una peligrosa mezcla de Troyanos y RootKits…!!

    Namaste!

    • A mi me sorprendió sobremanera (tenía años sin mirar un Windows de esa manera hasta las entrañas) que ahora los virus incluso inutilizan el Sistema “A prueba de Fallos” con lo que su nombre “A prueba de fallos” deja de tener sentido alguno …

  3. shopt -s nocaseglob
    rm -f *.lnk
    shopt -u nocaseglob

  4. Jo, menuda odisea por recuperar el sistema. Todo sea por las suegras xD
    ¿Oye en Linux el concepto de virus existe como tal ?

    • No, existen los “rootkits” que podrían comprometer un sistema bajo ciertas condiciones, muchas veces por errores del propio usuario, sin embargo el concepto de “virus” (un programa que asume el control del sistema de manera autónoma y se replica al resto de la red de la misma manera) no existe.

  5. tremendo post! es algo que siempre he estado buscando, pero aun me queda una duda, como puedo conseguir aquellas claves de registro las cuales son sospechosas de alojar virus? Me refiero a si hay alguna pagina donde muestren claramente cuales son los registros claves. Muy buen post!

    • Pues eso es casi que “empírico”, es decir, se aprende leyendo post tras post de las áreas que atacan los virus, ejemplo, no sabía como precargar un virus antes del explorer y por ahí vi una subclave en HKLM/Software/Microsoft/Windows NT/Current Version/
      Así siempre, ellos no son capaces de poner un howto o un wiki indicando cuales son … juegan a la “seguridad por oscuridad” …

  6. Muy buen post. Lo agrego a mis marcadores.

    Mi última batalla contra *esas cosas* la hice via escritorio remoto. Con un par de mañas y luego de crear diez usuarios con privilegios de admin, logré sacar la miriada de malware, troyanos y similares de un Windows. Tuve que hacerlo, y recomendar Linux al supervisor de una empresa de seguridad que se empeña en andar semejante cosa en su netbook.

    Saludos.

  7. Saludos, muy bueno tu post, ya me tropece con ese virus yo uso un antivirus poco conocido que se llama malwarebytes, es muy bueno se instala y debes iniciar el antivirus pero rapidamente le das iniciar el analisis, cuando el virus intenta cerrar la ventana aparace un mensaje diciendo que si desea cerrar el analisis le dices que no y continua, el problema es que tienes que hacerlo a cada rato, una vez terminado eliminas los archivos infectados y luego reinicias y ya se elimina reinicias el ie, y listo.

    • Yo intenté hacer eso pero realmente era excesivamente fastidioso; ¿no te parece mejor tener un boot USB de Linux, actualizar su patrón de antivirus y escanear el equipo con la comodidad que significa no estar como un bolsa cerrando cuadros de diálogo cada segundo? …
      De por si, no puedes correrlo tranquilo ni en modo a prueba de fallos …!

  8. Muy buen post es una excelente alternativa a usar para limpiar un sistema windows cuando anda grave ademas de una excelente oportunidad de mostrar las bondades de linux y hasta gabarse unos cobres, al fin y al cabo quien que use ms windows no a pasado arrechera con los virus? gracias microsoft por proveer sustento y a la comunidad de software libre por proveer excelelentes herramientas!!!!!

  9. Me ocurrió lo mismo con una amiga, pero mi solución fue un tanto diferente… Afortunadamente se mostró positiva a la idea de una solución definitiva, por lo tanto se le respaldo todo lo que se pudo, y se le instaló SOLO Ubuntu. Ahora está feliz, incluso aprendió a usar el Gimp, que cubre todo lo que antes hacia con Photoshop.

    En realidad ya llevo algunos años haciendo esto, reparar Windows es posible pero tedioso, solo para que, mas temprano que tarde se vuelva a descomponer. Así que a todos los que me llegan con un problema similar, les propongo esta solución única, y nada de dual boot, porque es caerse a mentiras, nunca inician en el otro sistema.

    Algunos se regresan, pero hay mas gente que se queda de lo que se piensa, sobretodo los que ven sus necesidades satisfechas como la navegación internet, etc.

  10. Epale señor ¿o debo decir doña? jejejejejeje, muy buena la entrada, te diré que el SRCD es una de mis utilidades del frankendrive, sabía lo del clamscan, pero me acabo de enterar de lo del regedit, he intentado hacerlo; pero me vuelvo un kilo de estopa ¿sabrás donde puedo conseguir un buen tutorial? de preferencia en español

    • Perro chamo, esa si me la pusiste dificil, puesto que yo “aprendí” registro de windows (regedit) de las manos de la experiencia y mucho lidiar con funestos errores de windows y lecturas al MSDN, ellos mismos jamás se han preocupado en hacer tutoriales eficientes …

      • Tranquilo, lo del tutorial que te pedía es para usar la herramienta que trae el System Rescue, ya en realidad no es muy intuitiva, o por lo menos para mi no

  11. Ponle a tu suegra una Manjaro – y otras – desde el USB, con yumi.exe o multisystem y como supongo que tendrá hardware viejo, sólo la velocidad, y ver que su firefox / chrome / thunderbird / Libre Office – a los que deberáis acostumbrarla primero – están allí no tendrá problemas en MIGRAR.
    PS:WINE para los programas no multiplataforma como IE mismo, aveces, cada vezmenos, necesario para lagunas compañías con malos profesionales en sus webs

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: