He cogido un virus chungo en el PC. Echadme un cable si podeis

#49 por blackmoore el 07/08/2008
Toni NOD 32, haz caso a Vidalsh...es algo mas barato...je,je.

http://www.guitarristas.info/foros/clases-guitarra-on-line/33367
https://www.facebook.com/CarlosRBlackmoore

Subir
#50 por TDL el 08/08/2008
Vale, en vista de lo que ha quedado... para el que se quiera saltar la verborrea de abuelo cebolleta puede pasar directamente a "Mi recomendación personal"

Hmmm... como ya han comentado dvinuesa y elfoscuro los virus de hoy en día no son, en primera instancia, virus como los conocemos y no afectan al hardware (que se tenga conocimiento desde el último caso, allá por el 98-99, Win32/CIH Chernobyl como decía elfoscuro, por cierto... un conocido intentó desensamblarlo y joder, tenía un algoritmo cojonudo para descomponerse en segmentos de tamaño variable e insertarse en las zonas de padding de los ejecutables PE y no modificar el tamaño final en un sólo byte, además de técnicas anti-debug bastante potentes, por lo que me comentó... ese bicho era una mala puta).

Antaño, trabajando con sistemas operativos sin abstracción y con controladores de hardware antiguos apenas sin protección se podían hacer auténticos detrozos... que me haya comentado gente que lleva MUCHO tiempo en esto (definamos MUCHO como desde alrededor de los 80) se podía golpear el cabezal de una unidad de almacenamiento contra los topes repetidamente hasta cascar, se podía escribir en sectores que guardan información de geometría de los discos, se podía escribir la BIOS desde software (estos dos últimos casos son más recientes, principios y finales de los 90, eso entra en mis tiempos ya y supongo que en los de algunos más de los aquí presentes, aunque de lo de machacar la info de geometría no tengo conocimiento de casos ni de pruebas)... mil cosas que, poco a poco, se han ido imposibilitando por mejoras de hardware y por el apilamiento de capas de abstracción y de virtualización. En realidad cada programa a día de hoy se ejecuta en su propia máquina virtual (cree que toda la máquina es suya) y el sistema operativo lo tiene engañado y controlado. Si bien el sistema operativo es susceptible de fallar al protegerse a sí mismo, como sólo una muy pequeña parte trabaja con el hardware y además los dispositivos cuentan con protección extra no hay daños a este nivel.

Cuando uno de estos programas se salta el bloqueo usando una de las mil formas que hay y que habrá se produce una infección. Ahora, una infección de qué?

Antaño, con la circulación de datos en disquettes y CD-ROM se estilaba más la infección vírica como tal, la modificación de un ejecutable de forma "transparente" y la propagación por inyección de cófigo en todos los archivos ejecutables disponibles en el sistema para asegurar su supervivencia y propagación. En aquellos tiempos, que muchos recordarán incluso con cierto "cariño" los virus se activaban determinados días (aún hoy creo que avisan por la tele los Viernes 13 XD) y soltaban su "payload" (carga "dañina") con efectos muy variados... una pelotita rebotando en la pantalla, congelación del sistema y trazado de "barrotes", una tragaperras que te obliga a jugar apostando la FAT de tu disco duro... mil y una formas de putear al personal.

Sin embargo hoy, con el crecimiento de las comunicaciones, hay algo que tiene más valor que el mero hecho de infectar y joder (o no, recordémoslo también, que había cargas inofensivas o incluso, en cierta manera, "divertidas". I want a cookie.). Lo que hoy tiene valor es el control.

Si os fijáis, la mayoría de casas de antivirus ya no habla de VIRUS, sino de malware. Por qué? Pues porque la mayoría de infecciones hoy en día no son víricas, son iniciadas por troyanos/downloaders (programas que, simulando ser lo que no son, descargan código en segundo plano fuera del control del usuario) que instalan gusanos y/o backdoors. Los gusanos existen para propagarse, esa es su misión principal... así, un gusano (si buscáis en internet: i-worm) que se ha instalado por un trojan/downloader intentará copiarse con nombres como: crack para el nero.exe, keygen para lo que sea.exe, etc. en directorios compartidos de plataformas conocidas de P2P y, típicamente, intentará enviarse por mail desde la cuenta de correo del usuario a todos sus contactos (love-letter-for-you.txt.vbs, este fue uno de los grandes causantes de deshabilitar la ejecución de adjuntos en la mayoría de clientes de correo sobre todo de microsoft). En otras ocasiones intentan propagarse (a veces con mucho éxito) explotando (ing. "exploiting", lo pongo así para facilitar las búsquedas de aquellos interesados en el tema, se podría definir como "aprovechando") fallos de seguridad remotos (es decir, infectar la máquina B desde la máquina A sin que el usuario en B haga ABSOLUTAMENTE NADA), hay casos sonados más o menos específicos... Blaster, se propagó usando un exploit remoto del servicio DCOM (tal y como se define "to exploit" a la acción de aprovechar una vulnerabilidad de software, se define como "exploit" al código específico, muchas veces prueba de concepto, que lleva a cabo esa tarea) que yo mismo comprobé con los PCs de algunos colegas (mención especial a este caso porque si no hubiera usado una versión temprana del exploit que colgaba un servicio crítico de windows su impacto hubiera sido inconmensurable y, de hecho ya lo fue...),,, Sasser, exploit remoto de lsass.exe (no sé de donde sacarían el nombre)... de este destacar que la solución temprana de microsoft, el parche que solucionaba la vulnerabilidad, dejó inutilizados ni se sabe cuantos servidores... sufrido en mis carnes al tener que desplazarme a Soria a desinfectar una planta de producción de una empresa muy grande de piezas de automóvil. SQL Slammer, este tuvo un impacto impresionante, tuvo en jaque las comunicaciones internacionales durante algunos días; la velocidad de infección y propagación fue espeluznante y eso que sólo afectaba al gestor de bases de datos MS SQL Server!!

Menos mal que cada vez los hacen más como churros y a base de módulos prefabricados (sí, hay software para crear virus/gusanos) con lo que muchas veces llevan fallos en su programación que los debilita o, incluso, el nombre y la dirección postal del creador (verídico). Por ejemplo, creo que fue el creador de Sasser (un filipino?) el que se disculpó ante el mundo a través de la televisión y afirmó no haber sabido lo que iba a liar.

Bueno, quitando el hecho de que los gusanos den por culo y jodan datos... (Pawur, al copiarse a sí mismo sobreescribiendo archivos de datos de autocad, ms word, etc. como hacen muchos de ellos, se cargó planos de a saber cuántas empresas. Y mención especial aquí a NOD32 al ser el primer AV en identificar Pawur como maligno aún sin haber sido identificado, período al que se suele referir como estar "in the wild".) En muchos otros casos, cada vez más, estos cabroncetes sueltan también su payload que suele conllevar la manipulación de internet explorer para mostrar anuncios indeseados o, vamos, spamear al usuario y/ö dejar la máquina infectada a merced del creador de tan infame criatura pasando así a formar parte de redes de "zombies" (máquinas con backdoors instalados y funcionales) que son vendidas en lotes a los spammers para usarlas como relays (repetidores) de correo para enviar spam, etc. (este es uno de los principales motivos por los que redes enteras de telefónica data están en listas negras de spammers internacionales imposibilitando el envío de correos directos desde ADSLs empresa, etc.)

En definitiva, lo que haya infectado el PC de Rafa lo estará usando para enviar mails con carga o intentará descargar más malware. Por supuesto, intentara tener el mayor control sobre la máquina posible robándoselo al legítimo dueño y evitará a toda costa la ejecución/instalación de cualquier tipo de antimalware.

Mi recomendación personal:

- Spybot + Ad Aware (por ejemplo): Para revisar malwares típicos de páginas de búsqueda "chungas" que se ponen insistentemente como página de inicio, popups insistentes, vamos... sobre todo aquellos malwares que descargan spameando al usuario (ad-ware) o aquellos que se dedican a, OJO, recolectar información privada (y aquí incluyo hábitos de navegación, contraseñas, etc.) del usuario (spy-ware). SpyBot tiene una función "inmunizar" que trabaja de forma similar a la siguiente herramienta. De estos conviene tener, al menos, dos y actualizar/analizar más o menos frecuentemente (los ratios de detección no son muy allá).

- Spywareblaster: "Jode" las entradas de registro que usan los spy-ware y ad-ware que constan en su base de datos (bastaaaaaaaante grande) imposibilitando, de esta manera, la infección. NO ES RESIDENTE, basta con ejecutar una vez, actualizar la base de datos de malware e inmunizar. No se queda en el systray ni nada. Tiene algunas opciones más que es conveniente examinar.

- Script Defender: Bastante recomendable, intercepta la ejecución de cualquier script .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS , .SHB, etc. y pide confirmación al usuario de forma que éste, al menos, está enterado de que "algo" intenta ejecutar código y permitirá o denegará la ejecución a su voluntad (interfiriendo así gran parte del trabajo de los trojan/downloader y los gusanos scriptados que son muuuuuuchos)

- Antivirus convencional: Aunque en la mayoría de los casos los antivirus traen de todo para los malwares, incluído firewall para evitar ejecución de procesos que quieran usar puertos de comunicaciones preguntando al usuario, etc. Suelen ser objetivo principal de los gusanos, etc. para sacárselos de encima en cuanto puedan y continuar con su labor. Personalmente y, en parte por logros como en el caso de Pawur o al detectar determinado programa conocido para mí como malware desconocido (sabiendo yo que el comportamiento de dicho programa era "vírico"), recomiendo NOD32 por su GRAN motor heurístico y su ligereza en comparación con otras suites antimalware. Antaño me gustaba más Kaspersky.

- Firewall: Bueno, casi cualquiera para usuarios de hoy en día es suficientemente funcional y sencillo. Quizás recomendar Kerio?

- Caso específico, para Cool Web Search, CWShredder: En su momento, no sé ahora, este ad-ware era de lo más cojonero que ha parido madre. Tanto que hay una herramienta específica creada para eliminarlo porque las demás no lo conseguían. Claro que hablo de hace tiempo ya, lo pongo a modo informativo.

- LO MÁS IMPRESCINDIBLE: DOS DEDOS DE FRENTE!! Parece una tontería, pero lo más efectivo siempre es la desconfianza, el recelo, el mirar las cosas diez veces antes de clicar en algún sitio y el calar los sitios por los que se navega ante posibles amenazas. En serio, nada puede sustituir dos dedos de frente como dos morcillas de gordos.

En cuanto al caso en concreto (y también un poco en general), suele ser conveniente y así te lo pido, Rafa, generar un log de Hijackthis TrendSecure | TrendMicro™ HijackThis™ Overview y pegarlo aquí. Esta herramienta genera un informe extenso acerca de qué hay en el PC en un momento determinado, muestra programas que arrancan al inicio, servicios, modificaciones de claves de registro de explorer, complementos instalados, procesos en ejecución, etc. Es lo más parecido a una "foto" que nos puedes hacer llegar.

Buah... me he tirado unos días en el pirineo totalmente desconectado y creo que me he enredado un poco demasiado ^_^

En fin,
Saludos!!

Si quieres escuchar mis experimentos con los cacharros que tengo a mano... Muestras de sonido en http://tonefinder.com/?value=TDL&section=user

Subir
#51 por Andrés_Gándara el 08/08/2008
Lei todo el ladrillazo :shock:
Tomo nota :ok:
Subir
#52 por elfoscuro el 08/08/2008
vidalsh escribió:
pd: por cierto toni, eso de que tuvieras que cambiar el pc entero me da que no fue problema de un virus...algo estaria roto o jodio...

bien ventilacion del procesador, fuente de alimentacion...o algo asi...

pero como te han dicho, actualmente no existen virus de la potencia de hace años que vulneren la bios ni nada semejante...


no hay nada como usar el acronis o el gosht para tener a buen recaudo todo tu sistema...(se acabaron los formateos y la reinstalacion de todo...)

eso si, con el precio que tienen hoy en dia los discos duros la gente deberia pensarselo...biene muy bien tener alguno extra para esas cosas...

yo por ejemplo tengo 6 discos duros, 3 internos y otros 3 externos usb...

mi imagen del sistema y toda mi coleccion de musica que ocupa cerca de 500Gb estan en uno de esos externos que siempre esta apagado salvo cuando lo necesito...

que si me pilla la sgae esa pues es que fui al fnac cuando me toco la primitiva y me lleve todo lo que me gustaba...jejeje...:D


killo con la pasta que estás gastando en discos usb debrías pensar en montar algo más al estilo de un raid scsi, te montas tus 4 discos de 300G scsi y vas sobradísimo, es más hasta lo notarás en la rápidez del ordenador, eso si más carete es pero la diferencia totalmente apreciable.

Si te decidieras un raid 0 o un raid 1 puede ser la opción adecuada, con el raid 0 todos los discos a grabar como condenados, con el raid 1 te dejas un disco como mirror para recuperar los datos, ainnnnnsss si es que con pelas se pueden hacer tantísimas cosas.
Subir
#53 por Dani el 08/08/2008
como os complicáis... :p
Subir
#54 por ... el 08/08/2008
Bueno, a ver si con nuestra ayuda se soluciona tu problema.

Salu2!!
Subir
#55 por cferalva el 08/08/2008
elfoscuro escribió:
killo con la pasta que estás gastando en discos usb debrías pensar en montar algo más al estilo de un raid scsi, te montas tus 4 discos de 300G scsi y vas sobradísimo, es más hasta lo notarás en la rápidez del ordenador, eso si más carete es pero la diferencia totalmente apreciable.

Si te decidieras un raid 0 o un raid 1 puede ser la opción adecuada, con el raid 0 todos los discos a grabar como condenados, con el raid 1 te dejas un disco como mirror para recuperar los datos, ainnnnnsss si es que con pelas se pueden hacer tantísimas cosas.



se te va la olla....pero bien lejos

cada disco SAS 300 GB (scsi ya no hay) vale unos 500 $...cada uno!! tu quieres poner 4 + 300 € de la controladora. no conozco a NADIE que monte eso para el PC de casa

irá más rápido seguro :D pero me parece que no compensa...
Subir
#56 por elfoscuro el 08/08/2008
cferalva escribió:
se te va la olla....pero bien lejos

cada disco SAS 300 GB (scsi ya no hay) vale unos 500 $...cada uno!! tu quieres poner 4 + 300 € de la controladora. no conozco a NADIE que monte eso para el PC de casa

irá más rápido seguro :D pero me parece que no compensa...


Yo tengo mi raid scsi, no sas que pille en ebay bastante bien de precio con discos de 80gigas y son 7.

se disfruta bastante cuando te das cuenta de que la tasa de transferencia es superior y fija, y tampoco me salió tan caro :D
Subir
#57 por TDL el 08/08/2008
vidalsh escribió:
a ver fieras...jejeje :D

mis discos duros son los antiguos que he ido renovando el sistema y me los voy quedando para usarlos...

por cierto, el ultimo que me pille uno sata de 500gb me costo 60€...no 500 pavos...:shock:


Hablan de discos SAS, no SATA. Se supone que los discos Serial Attached SCSI estos son el futuro para mucha gente... pero nosotros en el curro tenemos en producción Ultra 160 y 320 sobre todo. Creo que ningún storage o server con SAS aún.

En fin, las ventajas de esto no vienen sólo por los discos, claro... eso es lo bueno. Echa un ojo aquí: SCSI - Wikipedia, the free encyclopedia

Un ejemplo de futuro HD a 699$!!!!!!!: http://www.cluboc.net/reviews/hard_drives/SAS/seagate/cheetah15K.6_450gb/p1.asp

La verdad es que pometen bastante... pero supongo que son exageradamente ruidosos para uso doméstico, incluso más que un velociraptor de WD que ya es bastante aceptable... en fin, no sé. Todo son conjeturas hasta que echas las zarpas en uno.

Saludos!

Si quieres escuchar mis experimentos con los cacharros que tengo a mano... Muestras de sonido en http://tonefinder.com/?value=TDL&section=user

Subir
#58 por elfoscuro el 08/08/2008
vidalsh escribió:
a ver fieras...jejeje :D

mis discos duros son los antiguos que he ido renovando el sistema y me los voy quedando para usarlos...

por cierto, el ultimo que me pille uno sata de 500gb me costo 60€...no 500 pavos...:shock:


Yo es que soy un poquito tiquismiquis pero vamos que 500 pavos por disco tampoco me gasto, tienes tus buenos discos por sus 250 euretes de 80 gigas, evidentemente es una barbaridad más pero si los usas de modo más o menos profesional la diferencia es abismal.

por eso te especifique que no hay nada como tener pelas como para montarse lo mejor del panorama :risa: el raid te lo puedes montar con sata también.


Por cierto vidalsh que tiraré para Madrid el día 14 yo soy de los que inmigro a ciudades cuando todos se van :risa: por si te apetece tomar unas cañitas avisado tas :p
Subir
#59 por elfoscuro el 08/08/2008
vidalsh escribió:
jodooo tio...

pues el 14 me voy a un pueblo de salamanca hasta el 18 que vuelo a madrid y el 20 me voy a LANZAROTEEEEEE....:D


sinceramente y aunque no te lo creas te envidioooooooooooo y mucho yo ya es el tercer año que me quedo sin vacaciones :mad::mad::mad::mad: otra vez será :brindis:
Subir
#60 por rafamontcada el 10/08/2008
Bueno, ya estoy de vuelta. :saludo:
Quiero agradeceros a todos cada uno de los comentarios que habeis hecho con ánimo de ayudar, lo que demuestra que nivel de gente hay en este Foro. :aplausos::aplausos:
Muchas gracias a todos. Os explico, lo que he pillado es un virus muy chungo que se llama Beagle/Bagle, se coge bajando archivos de Emule, te inutiliza todos los antivirus, los ejecutables, y poco a poco ralentiza todo hasta un nivel de paciencia Bíblica. No te deja instalar nada, se pierden carpetas y programas. Pero tal como dije, este no podia conmigo y con un poco de paciencia, al final encontré la solución en esta página
¿Cómo eliminar el virus Beagle/Bagle? - La solución
Abro un post en interés del Foro en general para que actueis con cuidado y si alguien cae, que no formatee, que tiene solución.
Sois una caña, chavales.:ok:
Subir
Respuesta rápida

Regístrate o para poder postear en este hilo