Vale, en vista de lo que ha quedado... para el que se quiera saltar la verborrea de abuelo cebolleta puede pasar directamente a "Mi recomendación personal"
Hmmm... como ya han comentado dvinuesa y elfoscuro los virus de hoy en día no son, en primera instancia, virus como los conocemos y no afectan al hardware (que se tenga conocimiento desde el último caso, allá por el 98-99, Win32/CIH Chernobyl como decía elfoscuro, por cierto... un conocido intentó desensamblarlo y joder, tenía un algoritmo cojonudo para descomponerse en segmentos de tamaño variable e insertarse en las zonas de padding de los ejecutables PE y no modificar el tamaño final en un sólo byte, además de técnicas anti-debug bastante potentes, por lo que me comentó... ese bicho era una mala puta).
Antaño, trabajando con sistemas operativos sin abstracción y con controladores de hardware antiguos apenas sin protección se podían hacer auténticos detrozos... que me haya comentado gente que lleva MUCHO tiempo en esto (definamos MUCHO como desde alrededor de los 80) se podía golpear el cabezal de una unidad de almacenamiento contra los topes repetidamente hasta cascar, se podía escribir en sectores que guardan información de geometría de los discos, se podía escribir la BIOS desde software (estos dos últimos casos son más recientes, principios y finales de los 90, eso entra en mis tiempos ya y supongo que en los de algunos más de los aquí presentes, aunque de lo de machacar la info de geometría no tengo conocimiento de casos ni de pruebas)... mil cosas que, poco a poco, se han ido imposibilitando por mejoras de hardware y por el apilamiento de capas de abstracción y de virtualización. En realidad cada programa a día de hoy se ejecuta en su propia máquina virtual (cree que toda la máquina es suya) y el sistema operativo lo tiene engañado y controlado.
Si bien el sistema operativo es susceptible de fallar al protegerse a sí mismo, como sólo una muy pequeña parte trabaja con el hardware y además los dispositivos cuentan con protección extra no hay daños a este nivel.
Cuando uno de estos programas se salta el bloqueo usando una de las mil formas que hay y que habrá se produce una infección. Ahora, una infección de qué?
Antaño, con la circulación de datos en disquettes y CD-ROM se estilaba más la infección vírica como tal, la modificación de un ejecutable de forma "transparente" y la propagación por inyección de cófigo en todos los archivos ejecutables disponibles en el sistema para asegurar su supervivencia y propagación. En aquellos tiempos, que muchos recordarán incluso con cierto "cariño" los virus se activaban determinados días (aún hoy creo que avisan por la tele los Viernes 13 XD) y soltaban su "payload" (carga "dañina") con efectos muy variados... una pelotita rebotando en la pantalla, congelación del sistema y trazado de "barrotes", una tragaperras que te obliga a jugar apostando la FAT de tu disco duro... mil y una formas de putear al personal.
Sin embargo hoy, con el crecimiento de las comunicaciones, hay algo que tiene más valor que el mero hecho de infectar y joder (o no, recordémoslo también, que había cargas inofensivas o incluso, en cierta manera, "divertidas". I want a cookie.).
Lo que hoy tiene valor es el control.
Si os fijáis, la mayoría de casas de antivirus ya no habla de VIRUS, sino de malware. Por qué? Pues porque la mayoría de infecciones hoy en día no son víricas, son iniciadas por troyanos/downloaders (programas que, simulando ser lo que no son, descargan código en segundo plano fuera del control del usuario) que instalan gusanos y/o backdoors. Los gusanos existen para propagarse, esa es su misión principal... así, un gusano (si buscáis en internet: i-worm) que se ha instalado por un trojan/downloader intentará copiarse con nombres como: crack para el nero.exe, keygen para lo que sea.exe, etc. en directorios compartidos de plataformas conocidas de P2P y, típicamente, intentará enviarse por mail desde la cuenta de correo del usuario a todos sus contactos (love-letter-for-you.txt.vbs, este fue uno de los grandes causantes de deshabilitar la ejecución de adjuntos en la mayoría de clientes de correo sobre todo de microsoft). En otras ocasiones intentan propagarse (a veces con mucho éxito) explotando (ing. "exploiting", lo pongo así para facilitar las búsquedas de aquellos interesados en el tema, se podría definir como "aprovechando") fallos de seguridad remotos (es decir, infectar la máquina B desde la máquina A sin que el usuario en B haga ABSOLUTAMENTE NADA), hay casos sonados más o menos específicos... Blaster, se propagó usando un exploit remoto del servicio DCOM (tal y como se define "to exploit" a la acción de aprovechar una vulnerabilidad de software, se define como "exploit" al código específico, muchas veces prueba de concepto, que lleva a cabo esa tarea) que yo mismo comprobé con los PCs de algunos colegas (mención especial a este caso porque
si no hubiera usado una versión temprana del exploit que colgaba un servicio crítico de windows su impacto hubiera sido inconmensurable y, de hecho ya lo fue...),,, Sasser, exploit remoto de lsass.exe (no sé de donde sacarían el nombre)... de este destacar que la solución temprana de microsoft, el parche que solucionaba la vulnerabilidad, dejó inutilizados ni se sabe cuantos servidores... sufrido en mis carnes al tener que desplazarme a Soria a desinfectar una planta de producción de una empresa muy grande de piezas de automóvil. SQL Slammer, este tuvo un impacto impresionante, tuvo en jaque las comunicaciones internacionales durante algunos días; la velocidad de infección y propagación fue espeluznante
y eso que sólo afectaba al gestor de bases de datos MS SQL Server!!
Menos mal que cada vez los hacen más como churros y a base de módulos prefabricados (sí, hay software para crear virus/gusanos) con lo que muchas veces llevan fallos en su programación que los debilita o, incluso, el nombre y la dirección postal del creador (verídico). Por ejemplo, creo que fue el creador de Sasser (un filipino?) el que se disculpó ante el mundo a través de la televisión y afirmó no haber sabido lo que iba a liar.
Bueno, quitando el hecho de que los gusanos den por culo y jodan datos... (Pawur, al copiarse a sí mismo sobreescribiendo archivos de datos de autocad, ms word, etc. como hacen muchos de ellos, se cargó planos de a saber cuántas empresas.
Y mención especial aquí a NOD32 al ser el primer AV en identificar Pawur como maligno aún sin haber sido identificado, período al que se suele referir como estar "in the wild".) En muchos otros casos, cada vez más, estos cabroncetes sueltan también su payload que suele conllevar la manipulación de internet explorer para mostrar anuncios indeseados o, vamos, spamear al usuario y/ö dejar la máquina infectada a merced del creador de tan infame criatura pasando así a formar parte de redes de "zombies" (máquinas con backdoors instalados y funcionales) que son vendidas en lotes a los spammers para usarlas como relays (repetidores) de correo para enviar spam, etc. (este es uno de los principales motivos por los que redes enteras de telefónica data están en listas negras de spammers internacionales imposibilitando el envío de correos directos desde ADSLs empresa, etc.)
En definitiva, lo que haya infectado el PC de Rafa lo estará usando para enviar mails con carga o intentará descargar más malware. Por supuesto, intentara tener el mayor
control sobre la máquina posible robándoselo al legítimo dueño y evitará a toda costa la ejecución/instalación de cualquier tipo de antimalware.
Mi recomendación personal:
- Spybot + Ad Aware (por ejemplo): Para revisar malwares típicos de páginas de búsqueda "chungas" que se ponen insistentemente como página de inicio, popups insistentes, vamos... sobre todo aquellos malwares que descargan spameando al usuario (ad-ware) o aquellos que se dedican a, OJO,
recolectar información privada (y aquí incluyo hábitos de navegación, contraseñas, etc.) del usuario (spy-ware). SpyBot tiene una función "inmunizar" que trabaja de forma similar a la siguiente herramienta. De estos conviene tener, al menos, dos y actualizar/analizar más o menos frecuentemente (los ratios de detección no son muy allá).
- Spywareblaster: "Jode" las entradas de registro que usan los spy-ware y ad-ware que constan en su base de datos (bastaaaaaaaante grande) imposibilitando, de esta manera, la infección. NO ES RESIDENTE, basta con ejecutar una vez, actualizar la base de datos de malware e inmunizar. No se queda en el systray ni nada. Tiene algunas opciones más que es conveniente examinar.
- Script Defender: Bastante recomendable, intercepta la ejecución de cualquier script .VBS, .VBE, .JS, .JSE, .HTA, .WSF, .WSH, .SHS , .SHB, etc. y pide confirmación al usuario de forma que éste, al menos, está enterado de que "algo" intenta ejecutar código y permitirá o denegará la ejecución a su voluntad (interfiriendo así gran parte del trabajo de los trojan/downloader y los gusanos scriptados que son muuuuuuchos)
- Antivirus convencional: Aunque en la mayoría de los casos los antivirus traen de todo para los malwares, incluído firewall para evitar ejecución de procesos que quieran usar puertos de comunicaciones preguntando al usuario, etc. Suelen ser objetivo principal de los gusanos, etc. para sacárselos de encima en cuanto puedan y continuar con su labor. Personalmente y, en parte por logros como en el caso de Pawur o al detectar determinado programa conocido para mí como malware desconocido (sabiendo yo que el comportamiento de dicho programa era "vírico"), recomiendo NOD32 por su GRAN motor heurístico y su ligereza en comparación con otras suites antimalware. Antaño me gustaba más Kaspersky.
- Firewall: Bueno, casi cualquiera para usuarios de hoy en día es suficientemente funcional y sencillo. Quizás recomendar Kerio?
- Caso específico, para Cool Web Search, CWShredder: En su momento, no sé ahora, este ad-ware era de lo más cojonero que ha parido madre. Tanto que hay una herramienta específica creada para eliminarlo porque las demás no lo conseguían. Claro que hablo de hace tiempo ya, lo pongo a modo informativo.
-
LO MÁS IMPRESCINDIBLE: DOS DEDOS DE FRENTE!! Parece una tontería, pero lo más efectivo siempre es la desconfianza, el recelo, el mirar las cosas diez veces antes de clicar en algún sitio y el calar los sitios por los que se navega ante posibles amenazas. En serio, nada puede sustituir dos dedos de frente como dos morcillas de gordos.
En cuanto al caso en concreto (y también un poco en general), suele ser conveniente y así te lo pido, Rafa, generar un log de Hijackthis
TrendSecure | TrendMicro™ HijackThis™ Overview y pegarlo aquí. Esta herramienta genera un informe extenso acerca de qué hay en el PC en un momento determinado, muestra programas que arrancan al inicio, servicios, modificaciones de claves de registro de explorer, complementos instalados, procesos en ejecución, etc. Es lo más parecido a una "foto" que nos puedes hacer llegar.
Buah... me he tirado unos días en el pirineo totalmente desconectado y creo que me he enredado un poco demasiado ^_^
En fin,
Saludos!!
el raid te lo puedes montar con sata también.
