Troyanos–[Trojan:JS/BlacoleRef.AL]

 

 

Ir a la Web de Security Essentials

Hoy me he encontrado con la sorpresa de que accediendo a una página de un resultado de búsqueda en Google me ha entrado un troyano en el ordenador. Definición de troyano

La página es twitterempresa.com (en la imagen el enlace completo).

Nada más pulsar en el enlace ¿Múltiples cuentas Twitter para una sola empresa? y mientras accedía a dicha página, el Security Essentials ha saltado con una alerta: sin terminar de cargar, sin pulsar en ningún enlace, sin hacer otra acción que acceder a la página.
Las acciones que tengo predeterminadas en todos los casos es “Quitar” y eso he hecho, dando por bueno que se había eliminado.

Pero al intentar realizar otra búsqueda y al ir a pulsar la tilde ha aparecido el (tan oído pero nunca visto por mi  parte) efecto doble tilde: m´´ultiple. Así que no quedaba otra que investigar.

Lo primero, eliminar los temporales de internet. Seguía el efecto doble tilde.

Segundo, revisar el MSCONFIG. Allí aparecía una referencia en Inicio de Windows que no debería:
C:UsersW7AppDataRoamingGulosavyby.exe
En la imagen de arriba se puede ver la fecha y hora de creación de la carpeta Gulosa, coincidente con la fecha y hora del troyano.
La desmarco y salgo sin reiniciar. El efecto continuaba. (La referencia se renombra al ser desmarcada).

Elimino la carpeta Gulosa.

Y observo otra carpeta (Iqceir) con la misma fecha y hora que la anterior así que la elimino también.

Tercero, revisar los servicios. Allí estaba ejecutándose el archivo que contenía la carpeta Gulosa, VYBY.EXE. Selecciono y finalizo dicho proceso.

Para limpiar del todo las referencias, accedo también a la carpeta Prefetch y elimino el pf de la ejecución de VYBY.EXE (manías mías).

Y por último y puesto que he desmarcado del inicio de Windows (MSCONFIG) la ejecución de  VYBY.EXE, accedo al registro de Windows y elimino la clave para que desaparezca su referencia incluso desmarcada (más manías mías).
(Las referencias que desmarcamos del inicio a través de MSCONFG se almacenan en
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg – nombre del elemento de Inicio)

La información que emite Microsoft Security Essentials sobre este troyano es:

Reinicio el sistema y todo parece correcto. Hago un examen completo del sistema con Security Essentials.

 

Palel

 

Ordenadores Zombis, por Dani Alonso

 

 

Noticia: En Público.es 

A veces, noticias como ésta son la fuente de inspiración para iniciar un nuevo artículo, como por ejemplo este de los ZOMBIS.

Esta noticia nos dice que «España es el tercer país del mundo con más ordenadores zombis», y sí… más de 380.000 ordenadores españoles formaron parte en el segundo trimestre de este año de redes de ordenadores zombis controlados por un tercero, según un estudio realizado por Microsoft sobre equipos con sistema operativo Windows. El informe detalla las amenazas detectadas y eliminadas en más de 600 millones de ordenadores analizados en todo el mundo, y sitúa a España como tercer país en número de infecciones. El primer lugar lo ocupa EEUU con más de dos millones de ordenadores zombis, seguido de Brasil, que supera el medio millón.
El estudio destaca también que España pasa a ocupar el segundo puesto cuando, en lugar de contabilizar el número total de ordenadores infectados por países, se especifica el número de infecciones por cada mil operaciones de limpieza solicitadas.
En este caso, Corea del Sur (14,6), España (12,4) y México (11,4) encabezan los primeros puestos.

El estudio tiene como fin alertar a los usuarios de que su ordenador puede formar parte de una red que lo utiliza para enviar spam o atacar páginas web.

Entre abril y junio de este año Microsoft ha eliminado más de 6,5 millones de infecciones, el doble que en los mismos meses de 2009.
Pues aquí empieza mi entrada:

¿Cómo puedo saber si mi ordenador es un zombi?

Muchos se conformarían con recomendarte un escaneo online de algún antivirus, pero por desgracia no es suficiente y lo primero que tenemos que hacer es echar un vistazo a los procesos para ver si lo que está en ejecución en nuestro PC es todo lo que creemos tener instalado.

Para ello vamos al Administrador de tareas de Windows con la combinación de teclas Ctrl+Alt+Supr, o incluso mejor vamos a utilizar

una magnífica herramienta llamada Process Explorer

Vamos al menú «View», sección «select columns» y marcamos «Command line» para mostrarla. Con estas herramientas podemos ver todos los programas que están en ejecución y en qué directorio se encuentran.

También es muy muy interesante saber si hay algún programa que se intenta ocultar, para ello vamos a utilizar

otra interesante herramienta llamada RootkitRevealer

que detecta correctamente todos los rootkits persistentes publicados en www.rootkits.com.

Como ya sabéis, un zombie se produce por la infección de un malware «daemon» que requiere Internet para poder ser controlada, así que una de las actividades principales de estos bichos está en las conexiones. Por tanto vamos a comprobar si nuestro equipo se está conectando a sitios conocidos.

Si nos gusta jugar con comandos, el que debemos utilizar es NETSTAT -B, que nos dirá de manera muy clara qué aplicaciones son los responsables de cada conexión activa. Si lo preferimos con interface gráfica, podemos utilizar TCPView

Ahora, sabiendo que los malware intentan arrancar junto al sistema, una de las comprobaciones que podríamos realizar es en el Registro de Windows, a través de regedit.exe. En concreto, estas claves son la claves:

  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServicesOnce
  • HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunOnceSetup

Por último, pero no ello menos importante, si queremos garantizar que nuestro equipo esté lo más protegido posible, debemos asegurarnos de tener el equipo 100% actualizado, contar siempre con software legal, y

un buen y actualizado antivirus, por ejemplo Microsoft Security Essentials (que es gratis)

Autor de este artículo: Dani Alonso

  Anotación hecha en los comentarios por Ramón  Sola:

Los consejos de Dani Alonso están muy bien, pero en mi opinión se podría sustituir o complementar la inspección manual de las claves del registro con la ejecución del inefable Autoruns

Autouns: documentación y descarga