martes, 12 de febrero de 2013

Virus de la policía...


Todo empezó (siempre hay un comienzo para todo) en el puente de diciembre. Recibí una llamada de mi padre, bastante preocupado, porque le había salido una ventana de la policía nacional en el ordenador, diciendo no-se-que de zoofilia, pornografía infantil, terrorismo islamista y cuantas barbaridades más. La ventana de dicho mensaje cubría toda la pantalla y no dejaba hacer nada, para lo que proponía pagar una multa de 100€ para evitar un proceso judicial (y un posible escarnio público). Mi padre me llamaba, no porqué él hubiera hecho algo delictivo, sino por si su ordenador había sido "secuestrado" y era un zombie que otros habían usado para lo-que-fuera (bueno, el no usó zombie, pero en el telediario han dicho... ataque desde ordenadores... los dueños no sabían nada..., pues eso)

Aunque pueda parecer evidente que es un virus (el título ayuda) sin conexión, en el autobús de traslado al aeropuerto (nosotros estábamos de vacaciones), me costó algo de tiempo poder proponer una corrección. Solución sencilla: apaga todo y lo miro cuando llegue a casa).



Tras algo de investigación, la solución no es tan sencilla. El virus toma control del Explorer de windows (ay que bien vivo con mi MAC) por lo que hay que arrancar en modo a prueba de fallos, ejecutar un anti-malware, buffff difícil de corregir en remoto (que equivocado estaba!!).

Aprovechando la visita en Navidad a mis padres, me puse el mono IT para reparar el ordenador. A través de la página OSI, y con el uso de Anti-MalwareBytes, corregí el problema... al menos eso parecía... pero el virus muta, y el antivirus de mi padre estaba caducado.

Esta reinfección no causo el pánico de la anterior, pero ahora había una necesidad adicional. Mi padre es tutor de formación on-line y tenía un curso (y yo en medio de la dichosa RFI).



Esta vez la solución anterior no nos vale. Para empezar, el virus se instala al principio del arranque, por lo que no nos vale ni el modo seguro con funciones de red. Tengo que ponerme el mono azul oscuro (casi negro, me veía cogiendo un tren el finde).

Buscando por internet, incluida la página (verdadera) de la policía, veo que la solución pasa por hacer un CD (no vale DVD) de arranque para eliminar el virus. Parece que uno de los mejores es AVIRA. Pero mi padre no tiene CDs en casa para grabar el CD... tenemos que hacer un USB boot con Karpersky. Las instrucciones por ahora son "sencillas" y se pueden seguir con el correo y skype.

Ahora viene lo difícil. "Papá, tenemos que arrancar el PC y seleccionar la BIOS del ordenador para cambiar el orden de inicio". Entre el limitado inglés de mi padre y Facetime, logramos arrancar desde el USB. Un par de intentos pero el problema no se soluciona. Ni Polifix ni parece que Karpersky.

Vamos a intentar la forma "hard".
- Papá, vamos a listar las variables del registro para corregir el problema. Necesito que escribas unos comandos:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon" /v Shell
La variable apunta a explorer.exe... es correcto.

¿Dónde esta el virus?

Vamos a meter mano al "Startup" ("Inicio" cuando Windows está en marcha). Conseguimos arrancar en modo consola (al menos algo va mejor) y nos vamos a los directorios:
(C:\Users\%usuario%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ y C:\Users\Default User\Start Menu\Programs\Startup\)

Ahí está. Borramos los ficheros (DEL *.* era el comando más fácil de todos). Ahora, arrancamos de nuevo desde el USB de Karpersky, hacemos limpieza a fondo y, ahora si, al tercer intento, encuentra unos cuantos de "bichos" a eliminar.

Hasta ahora, todo lo he hecho con asistencia por teléfono, es mi padre quien lo ejecuta todo. Unos años de "segunda linea de soporte" en EEMEA ayuda. Ahora tengo acceso remoto con otra herramienta (una maravilla) y me meto a dar los últimos retoques.

Para empezar protegemos el arranque de malware. Usamos Winlockless. Eliminamos Anti-MalwareBytes (al final no funcionaba) y en su lugar ponemos Spybot S&D residente. Instalamos Microsoft Security Essentials (es gratis). Firewall y antimalware activados y actualizados. Java y Flash actualizados. Reemplazamos ESET NOD caducado por AVIRA antivirus, home edition, también gratis.

Protección lograda. Parece sencillo, pero no ha sido nada sencillo, y mi padre no es un usuario avanzado de informática. Que haya hecho el UBS Boot, haya ejecutado todos los comandos (la mayoría en inglés) y haya conseguido recuperar su PC es un logro. Quizás (seguro) no sería capaz de volver a hacerlo solo, pero la próxima vez (y seguro que la habrá) será más fácil para los dos ;)

PS 25/02, ayer venía en El País un artículo sobre este virus en concreto (del tipo ransomware), de la organización detrás de un virus así, de como se alimentan de nuestros "vicios" y nuestra necesidad de mantenerlos ocultos. Lo que más llama la atención del artículo es la cantidad de dinero que pueden haber sacado de los "secuestros", en base a pequeñas "multas" para liberar tu equipo...