Spiga

Lidiando con un Virus

sábado, 12 de julio de 2008 en 10:29 Publicado por K1m

Hace un tiempo que vengo lidiando con este virus que no me deja navegar tranquilo, no entran las bandejas de entrada del hotmail, las paginas cargan desconfiguradas y con errores, el antivirus me alerta a cada momento que intenta descargar archivos desde direcciones tipo:




http://mx.content-type.cn:443/day.js
http://ad.5yy.info/014.thm
http://js.tongji.cn.yahoo.com/621252/ystat.js
http://dt.tongji.cn.yahoo.com
http://log2.soft.cn.yahoo.com/
http://ad.5iyy.info/day.js
http://ad.5iyy.info/f/ilink.html
mx.yahoo........
etc.


El trafico se hace demaciado lento, etc

Voy a tratar de identificar como trabaja este virus y como por el momento parece averlo erradicado de mis PCs:


Primeramente como llega a nuestras PCs:


Suele llegar en memorias USB, mp3 players, mp4 players, hasta camaras fotograficas e encontrado infectadas con archivos autorun.inf y archivos .bat, .com, .dat, con nombres a azar y el famoso mae10c.exe, o ntde1ect.com y una variedad de nombres creados aleatoriamente.


Estos archivos estan con atributos de oculto, solo lectura y de sistema por lo que no son visibles a simple vista.


Se reproduce al abrir con doble click dicha memoria, o un disco infectado, el autorun ejecuta los archivos, creando claves en los registros, impidiendo cambiar la configuracion para ver archivos ocultos y de sistema, infecta los archivos ejecutables, se copia en memorias, diskets, discos duros creando una copia de si mismo(autoruns y archivos), tambien se copia atravez de recursos compartidos en la red.


Para salvacion de algunos el virus no atraviesa el deep Freeze, con una reiniciada del equipo se acabaria el problema pero quedan infectadas las unidades descongeladas, los USB los cuales al abrirlas se ejecuta y se repite el proceso.


Ahora veamos que hace:


Despues de lo ya dicho lineas arriba, el virus se apodera de la maquina y lanza un ataque de envenenamiento ARP, redireccionando todo el trafico de la red hacia la maquina e inyectado un codigo java script en cada peticion de conección a internet, para despues recien enviarla hacia internet, este codigo java(script language="javascript" SRC=http://mx.content-type.cn:443/day.js) lo que hace es descargar y ejecutar actualizaciones y modificaciones del virus en los equipos, por lo que todas las pcs de una red parecen infectadas.


Que hacer:


En primer lugar tenemos que indetificar la PC contagiosa,


En cuanto empieze las alertas del antivirus iremos a inicio ---> ejecutar o tambien presionando la tecla windows(si la de la ventanita) + R, para mostrar la ventana ejecutar,---> escribes CMD y enter, en la ventana DOS que nos saldra digitamos el comando arp -a con esto cargamos la tabla ARP:


Dirección IP Dirección Física Tipo

  • 192.168.1.1 0a-o3-46-b4-5b-8c

  • 192.168.1.42 01-00-5e-00-00-fc

  • 192.168.1.50 00-13-49-b1-5b-0c

  • 192.168.1.31 00-13-49-b1-5b-0c

Algo mas o menos asi saldria, generalmente la direccion 192.168.1.1 es la puerta de enlace predeterminado que corresponde al router dependiendo de la configuracion que tu proveedor te haya hecho.


Repite el comando arp -a varias veces para ver cuales direcciones permanecen constantes, la direccion que siempre permanesca en la lista es la sospechosa, asi toma nota de la IP y manos a la obra, si les asignaste una direccion ip fija a cada maquina sera facil ubicarla pero en caso de ser dinamica tendras que ir de una en una y ejecturar el comando ipconfig(inicio ---> ejecutar ---> cmd ----> ipconfig)(*) para averiguar a que pc corresponde la direccion sospechosa.


Una vez identificada la maquina, desconectala de la red(**) y ahora depende de ti, le haces una limpieza total o formateas(***) XD.


Limpiando la infectada:


Si tiene deep freeze descongelala, desconectala de la red, instalale antivirus actualizado, tambien un anti malware, para hacerlo debes tener todo lo necesario en un USB limpio o disco, no conectes para nada la red ya que la red esta infestada del virus y puede que exista mas de una pc contagiosa. Ejecutalo uno por uno en modo a prueba de fallos, examina tus discos, particiones a fondo, memoria, pasa el ccleaner.


Ahora instala el Service Pack 3 (SP3)(opcional) para evitar que el explorer(no el iexplorer) se infecte en caso de futuros ataques, el SP3 corrige vulneravilidades del explorer que se aprovecha el virus, pero no significa que seras invulnerable con el, esto afecta hasta linux ya que el virus hafecta el trafico de la red, pero almenos inpedira que tu maquina se convierta en la atacante si es que existe otra infectada.


Si eres paranoico o estas como yo desesperado con este vicho jeje, despues pasa otra ves tu antivirus y anti malware, ojo sin conectar a la red hasta estar seguro de que no hay mas infectadas.


Congela tu maquina y apagala, serciorate que no hay mas infectadas en la red, en caso de encontrar otras infectadas repite el procedimiento para limpiarlas.


Asi me pude liberar de este vicho, almenos por ahora ya no me da problemas.


Notas:


(*) El comando ipconfig nos muestra la direccion ip de cada maquina sea dinamica o fija, la mascara de sub red y la puerta de enlace.


(**) Al desconectar de la red sucede que las otras maquinas no podran acceder a internet ya q todo el trafico se estaba redireccionando a la infectada, esto se normalizara en unos momentos pero si deceas apagas y enciendes tu router.


(***)En caso de formatear ya sabes solo conectas la red cuando estes seguro que la red este limpia.


Espero les ayude a liberarse de este vicho.

Etiquetas:

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)