lic_prueba by alberto, S.A. is licensed under a Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional License.
Sábado 11 de octubre por la mañana, enciendo mi ordenador para poner un poco de música que me acompañe mientras realizo algunas tareas domésticas (hacer la cama y poco más) y entonces, SORPRESA!!!, aparece la siguente notificación del antivirus
Carallo, parece cousa do demo, no había oído hablar de este tipo de malware en mi vida hasta esta semana y justo ahora se me presenta uno en la parte más intima de mi vetusto equipo de 2GB de memoria.
Pues nada, accedo entonces a realizar ese analisis durante el arranque del equipo que me sugiere el antivirus (qué carajo voy a hacer) y el equipo se reinicia automaticamente. Transcurren unos 20 min. de análisis por parte del propio S.O. desde esa característica pantalla de varias tonalidades de color azul con el logotipo de Windows y la leyenda XP que alguna vez había visto antes en el todavía más viejo portatil de mi padre, y vuelta a empezar: el mismo mensaje en el escritorio al arrancar el equipo.
No me vengo abajo, pues ya me imaginaba que la cosa no iba a ser tan sencilla. Repetimos la operación, con la esperanza de que tras un segundo barrido el antivirus, el XP o quien quiera que sea consiga que aparezca un mensaje del tipo: «el análisis ha terminado y su equipo ha sido desinfectado satisfactoriamente», pero nada, otra vez lo mismo y ya empiezo a cansarme un poco. Si el antivirus localiza el archivo infectado, ¿por qué no basta con que yo, usuario, lo borre y punto?. Pues porque, supongo, que si fuera tan sencillo ya lo haría el propio antivirus. Aunque así deberían ser las cosas, desde luego.
Pero tranqui, me digo, no pasa nada. No ha podido llegar en mejor momento, ahora estudio SAD en el IES de Teis y con los conocimientos adquiridos en los últimos 15 días y un poco de suerte podría ser suficiente. Y coño, la cosa pinta bien, abro el libro ed. RA-MA por la página 15 (práctica 1.2) y allí viene claramente especificado como proceder en un caso como este.
Pues nada, vamos a ello, abro el terminal, la interfaz de linea de comandos o como sea que se llame esa de fondo negro con las letras en blanco e introduzo las órdenes precisas. Ahora sí, me siento auténtico administrador de mi propio equipo, tengo el poder y siento la responsabilidad pero no me tiembla el pulso, ya lo he hecho otras veces: se introduce el comando en cuestión y pulsas ENTER. Esto es profesional, muy profesional. Pero ya me lo advertía el libro de marras, puede ser que se nos solicite el disco de instalación de Windows, e non pasan dous segundos e ahí vai a mensaxe. Mal rollo, el sinvergüenza que me vendió el ordenador en su día, allá 7 años atrás, no me dió el disco que ahora se me requiere y tengo que optar por descartar esta vía. La cosa se complica, pero el ordenador funciona así que le ordeno al antivirus que no vuelva a notificarme lo del rootkit nunca más y desmarco la casilla de verificación correspondiente. Hago un pequeño amago de buscar en internet alguna especie de tutorial donde me indiquen los pasos a seguir, pero lo hago sin mucha fe y solo aparecen conversaciones de foros entre usuarios ecuato-peruanos, avanzados eso sí, que no consigo entender. Ni ganas que tengo.
Nada, ya lo tengo, esto se lo voy a contar a mis compañeros de clase a través de mi blog (jod. quien me lo diría a mí hace diez dias, ¡mi blog!) y mato dos pájaros de un tiro: pongo algo de interés en el ámbito de la seguridad en este sitio, algo basado en mi propia experiencia, y poniendolo en común hacemos del recate de mi PC cuestión de interés general. Si es cierto que la unión hace la fuerza, siento que mi equipo está salvado.
Así que, manos a la obra, instalo el programita para capturas de pantalla que he visto que utilizais para SRI y listo, me pongo a escribir y además queda chulo y comprensible. Pues allá que voy y mensaje durante el proceso de instalación 
Busco en Google algo sobre el Greenshot y veo que es SW libre, así que confío más en la descarga gratuita en internet y procedo a ello, pero nada, el mismo mensaje de error. Estoy empezando a recordar por qué quiero aprender sobre esto de la informática…aunque todavía no se me quitan las ganas de escribir esto en el blog (¡mi blog!) y me entero de que cualquier equipo con Windows (non sei o resto) y la combinación de teclas alt+Impr pant captura pantallazos y los puedes guardar en Paint, que a su vez te los deja editar y guardar en formato jpg. Total, lo pruebo un poco y funciona aunque como veis el resultado no es muy bueno pero sirve para que pueda seguir adelante.
Descartada la vía propuesta en el libro ed. RA-MA (prestigiosa donde las haya) tiro de protocolos seguidos en clase y le paso al archivo supuestamente malicioso que señala el aviso del antivirus la auditoría de «virus total». Resultado
Traduzco por si no se lee bien. De 54 antivirus, 1 detecta que es malware. Mi avast antivirus, el mismo que me lo localiza en mi ordenador, no atina a ver nada sospechoso si le presento el archivo aisladamente (?¿).
Y total, por ir resumiendo. No tengo el cd de instalación del S.O., cosa que creo me hubiera salvado de entrada y no tengo ni idea de cómo resolver esto. Además,
Cuestiones complementarias:
¿Qué es un Portable Executable File?, lo digo porque tengo la impresión de que la infección proviene de mi pendrive que a su vez había formateado antes de usarlo en los equipos del Insti y ello porque cuando he introducido el usb en mi equipo de casa en un par de ocasiones me ha hecho el típico amago de dejar colgado el equipo, tiempo durante el que tengo la sospecha ese pequeño cabroncete se introducía en mi S.O.
¿Que es un Machine Debug Manager?
¿Qué es esa secuencia de 64 caracteres, parece que en hexadecimal, que aparece en la cabecera del análisis de virustotal?
¿Si su objetivo son Win32 intel machines y mi equipo usa procesador AMD, significa eso que puedo estar tranquilo conviviendo con este programita malicioso en mi equipo?, é dicir, no es cierto que lo barato salga caro, al menos en esto de la informática, sino que más bien lo popular es lo que sale caro?
¿Qué se supone que está haciendo ese malware en mi equipo?, por ahora todo parece funcionar bien.
Y lo que es más importante aún. ¿responder a todas estas preguntas me ayudará a resolver este entuerto, o estoy haciendo el chorras?
De los demás detalles del análisis del virustotal no tengo ni preguntas porque no entiendo na.
Nota: ya sé que el blog no es para esto pero tenía que intentarlo.
*************************************************************************************
miblogsad2014 
muy buen post para empezar, quizás un poco largo y con muchas preguntas. A lo mejor al final de este trimestre tienes algunas resueltas. Por empezar por algún sitio . . . ¿ tienes un cd-live con antivirus ? así podrás arrancar desde el cd y no desde el disco duro y pasarle el antivirus.
Me gustaLe gusta a 1 persona
Hola Carlos, he pasado el antivirus tal y como me has dicho antes del arranque del sistema y, tras largas horas de escaneo, el resultado ha sido que no se ha detectado nada (cosa que me parece normal a la vista del resultado de pasar al archivo supuestamente infectado por «virustotal» y que solo uno de los antivirus lo identificara como malware: he pasado el «avira» desde el live cd, uno de los que no lo detectaba).
Con anterioridad a todo esto, y por hacer uso de utilidades vistas en clase, Microsoft baseline security analyzer me sugiere introducir ciertas actualizaciones en el s.o. y el office, pero claro, al intentar descargarlas me pide el cd original de ambos. Introduzco uno piratilla para el office -el mismo que utilicé en su día para la instalación- pero no cuela, y lo mismo para el s.o., al tiempo que amablemente me ofrece la posibilidad de adquirir w7 para mi equipo.
Las cuestiones, más prácticas que técnicas, que me planteo son: ¿Cómo llega este malware a mi equipo y, sobre todo, cuál es la finalidad del mismo? Como comentaba en el blog el equipo funciona con normalidad. Tiene esto que ver con el uso de un s.o. no del todo actualizado?
Me gustaMe gusta