El dia de ayer tuve un encuentro cercano del 3er tipo con un puerco malware. Un ejecutivo de alto rango de la empresa (de los pocos que tienen Messenger habilitado), cometio la equivocacion de aceptar un archivo .zip de esos muy comunes estos dias, donde el mensaje te dice que veas una foto.
Pues al enterarme que la computadora estaba infectada (miles de mensajes a todo el mundo, tratando de diseminar el virus), me di a la tarea de limpiar el equipo.
Lo primero que descubres es un ejecutable llamdo symlsvrn.exe, que obviamente no puedes eliminar debido que un proceso lo esta utilizando. Lo primero que las empresas antivirus recomiendan para lidiar con este tipo de malware es reiniciar el equipo en modo a prueba de fallos. Pues cual fue mi sorpresa que este malware ocasionaba que simplemente el equipo se reiniciara y no te permitiera hacerlo.
Como buen malware lo primero que hizo tambien fue modificar el archivo host local, para evitarme la navegacion a sitios antivirus, que despues de corregir el archivo, de poco sirvieron ya que ni una sola herramienta pudo ayudarme con la infeccion.
Las herramientas de regedit y de msconfig quedaron tambien deshabilitadas, para proteger cualquier modificacion que desearas hacer en el registro. A esas alturas me empece a desesperar porque practicamente el malware se estaba protegiendo muy bien.
Fue cuando recorde las buenas herramientas de systernals las cuales hace tiempo fueron adquiridas por Microsoft. Entre ellas esta el process explorer y el PSKill. Pues cual fue mi sorpresa que el malware ni siquiera dejaba correrlas, mataba el proceso al momento de iniciarlo. Afortunadamente tienen la opcion que ademas de descargarlas las puedas correr en linea y de esa manera me lleve la impresion mas grande.
El archivo que les platico, estaba colgado del proceso explorer.exe, lo que significaba que jamas iba a poder tronar el proceso y al mismo tiempo eliminar el archivo.
Mi salvacion llego, con una solucion de bootear en Linux y usar una herramienta dentro del mismo .iso que me permitia modificar el registro. De esta manera elimine el registro que cargaba el archivo en memoria y por fin pude eliminar. El proceso me tomo practicamente 4 horas.
Aparentemente el virus era el Netsky, o por lo menos asi lo detecto mi AV, pero dudo que haya sido esa variante, por lo menos lo pasos para resolver el problema eran muy sencillos.
Asi que no se olviden de 3 puntos muy importantes (definicion del personal para uso de messenger, usuarios sin privilegios de administrador y definicion de virus actualizadas), aunque esto no les garantiza al 100% que nunca se infecten, minimizan mucho el riesgo.