El Recurso de Escritorio de las Emisoras
Escrito por Paul Litwinovich Publicado en Administración de TI.
Descargar PDF
Mantener las computadoras libres de algunas de las cosas desagradables en Internet requiere una vigilancia constante, tal vez con un programa antimalware. Las computadoras utilizadas por el personal en la Sala de control son aún más vulnerables, ya que los usuarios pueden usar menos cuidado cuando están en computadoras compartidas comúnmente. Si su instalación es «got», Paul Litwinovich tiene la solución:
Administro alrededor de 70 computadoras aquí en el Grupo de Radio Pública de WSHU y me he vuelto bastante bueno limpiando el virus ocasional que generalmente se desliza en el correo electrónico de alguien.
En las últimas semanas, ha habido una erupción de nuevas infecciones informáticas causadas por el troyano Vundo y sus variantes virales. Este fue un caso excepcionalmente difícil, así que tuve que hacer un poco de investigación al respecto. Tal vez esta información le alertará de los peligros y le ayudará si la encuentra en su computadora.
Infección por Troyano
La infección puede ocurrir fácilmente: el troyano Vundo se inicia como una ventana emergente en su navegador web que le dice al usuario que el programa antivirus de la computadora está a punto de caducar, o que lo ha hecho. Le pide que «haga clic aquí para solucionar el problema.»Puede ofrecer una descarga gratuita de» Internet Security 2010 «o algún otro programa para» limpiar su computadora.»
ADVERTENCIA: si usted o su personal ven esta ventana emergente, no se sienta tentado a hacer clic en la «X» para cerrar la caja. Es todo un jpeg y si hace clic en cualquier lugar, comenzará el proceso de descarga. En algunas variantes, puede hacer clic con el botón derecho en el icono de su navegador en la barra de tareas inferior en la parte inferior de la pantalla y cerrar el navegador. Si tienes suerte, esto también cerrará la ventana emergente.
Si la ventana emergente permanece en su pantalla en este punto, la única salida es guardar los archivos abiertos (documentos, etc.)., en la que estaba trabajando) y luego bloquee la computadora manteniendo presionado el interruptor de encendido hasta que se apague. Es posible que tenga que pasar por una comprobación de disco cuando reinicie, pero supera a la alternativa.
Advertencia: Hacer un apagado normal y limpio le dará la oportunidad de escribirse a sí mismo en su disco duro.
Lo que hace Vundo
Hay muchas variaciones de los troyanos Vundo, que van desde lo «relativamente» benigno a lo muy destructivo. La mayoría usa la apariencia de algún tipo de publicidad emergente y luego se rootean a sí mismos para dificultar su eliminación.
Si hace clic en la ventana emergente, engañará a algunos programas antivirus al aparecer como una descarga intencional.
Luego, una vez que el virus se haya cargado, intentará apagar su programa antivirus real y reemplazará su icono en la bandeja del sistema por uno para un programa antivirus falso. Puede modificar su configuración de seguridad para mostrar una advertencia de que su programa antivirus debe actualizarse y cuando haga clic en la advertencia, lo llevará a un sitio web falso e intentará venderle más software falso, o al menos obtener su número de tarjeta de crédito. El programa antivirus falso puede aparecer bajo una serie de nombres.
El virus a menudo desactivará las actualizaciones automáticas y creará un archivo que le impida iniciar en el modo seguro. A menudo, protegerá una copia de sí mismo en la caché del navegador que no se puede eliminar. Si el virus detecta que está tratando de eliminarlo, puede crear docenas de copias de sí mismo que aparecen como archivos dll con nombre extraño en el directorio system32. Más detalles de cómo funciona Vundo están disponibles en la mayoría de los sitios web antivirus.
Un punto que se puede encontrar en casi todas las descripciones web de Vundo es que abre las puertas para dejar entrar a otros troyanos, por lo que cuanto más tiempo no se trate su computadora, más virus tendrá que lidiar con. Afortunadamente, estos se limpiarán fácilmente cuando escanee la unidad después de realizar los cambios para eliminar Vundo.
Además, puede incluso «invitar» a otros virus a que se instalen: A menudo recibirá anuncios emergentes de otros sitios web, productos y pornografía, además de anuncios para el programa antivirus falso.
Análisis
La clave es la forma en que almacena una copia de sí mismo en la carpeta de información de volumen del sistema oculta (que se usa para almacenar puntos de restauración), protegida contra escritura y con acceso denegado, por lo que su antivirus real (si sigue funcionando) o escaneos en línea como Trend Housecall no siempre pueden eliminarla. También es muy bueno para evitar que las herramientas de extracción se carguen y ejecuten.
De hecho, AVG, Trend y Norton lo detectarían y pensarían que lo estaban eliminando, pero ahí quedó. Descubrí esto cuando traté de escanear solo la carpeta SVI y no encontré ningún cambio en su tamaño después de que el antivirus informara de limpiar el virus. Luego descubrí que los archivos de virus estaban prácticamente bloqueados.
Cómo recuperarse de Vundo
Es muy difícil, de hecho, casi imposible, deshacerse de este virus de la propia máquina infectada.
La única forma segura de limpiar esta infección es usar uno de esos adaptadores que le permiten conectar un disco duro a un puerto USB como el Olevia ADA-2020 o similar.
Aquí le mostramos cómo limpiar su computadora:
- Retire la unidad infectada de su máquina.
- Conéctelo al adaptador USB conectado a una máquina con un programa antivirus actualizado.
- Cancele el molesto programa de reproducción automática que Windows abre cuando ve la unidad.
- Abra la unidad dentro de Windows. (No se preocupe: este tipo de virus no puede infectar al otro equipo mientras hace esto, solo puede funcionar desde la unidad C:)
- Una vez que la unidad está abierta y puede ver su contenido, desde la barra de herramientas del explorador abierta: herramientas / opciones de carpeta / ver y marcar «mostrar archivos ocultos», luego desmarcar «ocultar archivos protegidos del sistema operativo».»
- Ahora verá la carpeta de información del volumen del sistema. Haga clic con el botón derecho y, en propiedades, desmarque «solo lectura».»Mientras aún esté en propiedades, vaya a la pestaña seguridad y agregue al usuario o administrador actual como que tiene «control total» (el usuario predeterminado del sistema no es suficiente). Asegúrese de aplicar esta configuración a las subcarpetas (es decir, si inicia sesión como «Joe», agregue «Joe» a los usuarios permitidos para la unidad que está reparando).
- Cierre el cuadro de propiedades y ahora haga clic en la carpeta para ver si se abre y puede ver los archivos.
- Cierre el explorador de Windows.
- Haga clic en mi computadora, luego haga clic con el botón derecho en la unidad infectada y seleccione «escanear con (lo que sea) antivirus» que use. Asegúrese de decirle al programa que elimine todas las amenazas detectadas. (Si usa AVG Free, asegúrese de que tiene hasta la versión 9, ya que la 8.5 no eliminará todos estos virus.)
- Después de que la unidad esté limpia, vuelva a colocarla en su máquina original.
- Cuando se inicia, puede recibir el mensaje de que no puede encontrar este o aquel archivo o .dll, etc. Esto no indica que la máquina todavía esté infectada. El registro está buscando archivos creados por el virus que ahora se eliminan. Tenga en cuenta cuáles son los archivos y luego use regedit para encontrar las líneas que los llaman y eliminar estas entradas del registro.
Si todo va bien, ahora debería poder reiniciar la máquina y obtener un arranque limpio. Es posible que tenga que volver a activar las actualizaciones automáticas, pero de lo contrario no he encontrado ningún daño permanente.
Después de alterar la configuración de propiedades como se describe, pude limpiar todo el disco de una sola vez. Desde entonces, he utilizado este método para limpiar la infección de varios otros equipos, por lo que tengo un alto nivel de confianza en el método.
Espero que esto te ayude, si te encuentras enfrentando esta molesta amenaza.