Ir al contenido principal

Analisis de un virus: El gusano Rorpian...

Hace tan solo unos dias tuve que limpiar una computadora infectada con el rogue (antivirus falso) Security Protection. Por supuesto, use mi procedimiento regular para comenzar la limpieza, el cual incluye usar un flash drive (pendrive) donde tengo instaladas mis 'herramientas de limpieza'. Afortunadamente, todo salio perfecto. Y luego de un par de 'reboots', la computadora de mi cliente estaba como nueva...

Asi es que me dispuse a limpiar una segunda computadora.... Luego de insertarle el flashdrive y abrir el directorio raiz del mismo (la carpeta principal del mismo), note un par de archivos que no deberian estar ahi bajo ninguna aspecto...
  • myporno.avi.lnk 
  • pornmovs.lnk  


Como habian aparecido magicamente en mi flash drive, si yo no los habia puesto alli?

Lo que habia sucedido es que la computadora infectada con el Security Protection tambien estaba infectada con otro virus...El gusano Rorpian..., el cual habia creado esos archivos en mi flashdrive automaticamente cuando lo inserte en el puerto USB de la computadora!

Y como funciona este gusano?

La manera en que un virus o un gusano o cualquier malware en general entra a una PC varia de computadora a computadora y de usuario a usuario. Sin embargo, una caracteristica siempre presente es que engañan a la victima haciendole creer que lo que van a descargar a su computadora y luego ejecutar es inofensivo. Puede tratarse de un screensaver, un juego, una foto, un video, un codec de video, una pagina de internet con scripts maliciosos, etc.
Cuando la victima ejecuta el archivo infectado con el gusano Rorpian, que puede haber provenido de cualquiera de las fuentes mencionadas arriba, el gusano se copia a si mismo (tipico de virus y worms) en las carpetas temporales de Windows usando un nombre aleatorio con la siguiente estructura:

                                                                svr8E0.tmp


Luego el gusanito crea un par de entradas en el Registro de Windows (base de datos que guarda toda la configuracion del sistema) que le permitiran cargarse en la memoria de la computadora cada vez que esta sea encendida, como si se tratara de un 'servicio' real y legitimo del Sistema Operativo. La manera en que lo hace esta tan bien diseñada que es bien dificil detectarlo al menos que uno sospeche que dicho gusano puede estar afectando al sistema, ya que se 'mimetiza' con otros servicios reales y necesarios de Windows.

Al cargarse como 'servicio' cada vez que la PC es encendida, el gusano puede realizar todo tipo de 'tareas' en tu PC sin que tu te des cuenta en lo mas minimo. Como por ejemplo:


  • Crear archivos infectados en flashdrives, pendrives, discos duros externos y otras computadoras que formen parte de una red de acceso local. Recuerdan los dos archivos que aparecieron magicamente en mi flash drive?
  • Conectarse automaticamente a servidores, descargar y ejecutar mas virus, como el mencionado rogue Security Protection.

Los peligros del Autorun/Autoplay

Entre los archivos que este gusano crea existen dos que aprovechan vulnerabilidades en el diseño del sistema operativo Windows para poder infectar rapidamente una computadora.

  • La extension lnk de los accesos directos: esta vulnerabilidad le permite al gusano rorpian autoejecutarse aunque no le hagas click a ningun archivo en particular! Simplemente con el hecho de abrir una carpeta que contengan los archivos myporno.avi.lnk y pornomovs.lnk, el gusano se puede autoejectuar e infectar una nueva computadora.
  • El archivo Autorun.inf: este es un problema mas que nada en computadoras con Windows XP. El archivo Autorun.inf les permite a los CD's o Flashdrives ejecutar automaticamente un programa luego de haberlos insertado en la computadora. Los archivos Autorun.inf son muy comunes en CD's que contienen drivers para webcams, impresoras, etc. Al insertarlos, el archivo Autorun ejecuta automaticamente el archivo instalador y la instalacion de los drivers comienza automaticamente. Por supuesto, en el caso del gusano Rorpian, el archivo Autorun.inf que este crea, le indica a la PC ejecutar automaticamente el virus apenas insertas el CD o Flashdrive infectado.
 Windows Vista y Windows 7 no permiten que el archivo Autorun.inf se ejecute automaticamente por razones de seguridad.

    Comentarios

    1. un amigo tiene ese securiti protector. komo se lo saco?

      ResponderEliminar
    2. remover un worm como ese es algo bastante complicado. asi que al menos que tengas experencia en el campo de la eliminacion de virus, te recomiendo que mejor busques ayuda profesional. Si vives en el area de Concord en Carolina del Norte, estare mas que contento en ayudarte. Si no tambien podemos usar el servicio de asistencia remota...

      ResponderEliminar

    Publicar un comentario

    Entradas más populares de este blog

    Anatomia de una ventana del Sistema Operativo Microsoft Windows

    Hoy vamos a aprender un poco sobre los nombres tecnicos de las distintas partes de una ventana de Windows.

    En la siguiente foto, vemos lo que se conoce como el 'Desktop' o 'Escritorio de Windows' y sus partes mas importantes:

    En la siguiente foto, podemos apreciar el Windows Explorer (NO confundir con el Internet Explorer!) y sus partes principales:
    A continuacion, vemos una ventana de Firefox y los nombres tecnicos de sus distintos componentes:

    Y por ultimo, dos caracteristicas exclusivas del sistema operativo Windows 7: Aero Peek y Jump Lists:

    Puedes aprender a a usar las Listas de Salto (Jump Lists) en este articulo.

    Diferencia entre Modo Suspendido (Sleep Mode) e Hibernacion (Hibernation Mode)

    A la hora de poner la computadora a 'dormir', disponemos de 2 opciones basicas:

    Sleep Mode (Modo Suspendido)Hibernate Mode ( Mode de Hibernacion)


    Ambas opciones ponen a la computadora en modo de bajo consumo electrico, algo muy util si quieres ahorrar algo de dinero a fin de mes en tu boleta de la luz o conservar carga en la bateria de tu laptop. Sin embargo existen algunas diferencias muy marcadas en la forma que uno u otro sistema funciona. En este articulo vamos a explicarlas brevemente.



    Sleep Mode. Mode Suspendido

    Este modo es el mas comun y recomendado si vas a dejar de usar la PC por cortos periodos de tiempo. Cuando la computadora entra en Modo Suspendido, ya sea si lo activas manualmente desde el Menu de Inicio o si dejas la PC inactiva ( sin tocar su teclado o raton ) por un cierto periodo de tiempo, todos los programas que estas usando, ya sea tu navegador de internet y sus paginas abiertas, o cualquier programa que hayas abierto en ese momento, como Word, Paint, etc …

    Aprobaciones de inicio de sesion para Facebook

    Al igual que el sistema de Verificacion de doble paso de Google, Facebook tambien ofrece un sistema para iniciar sesion que aumenta radicalmente la seguridad de tu cuenta de Facebook. Basicamente se trata de recibir un codigo numerico unico al celular asociado con tu cuenta de Facebook e ingresar ese codigo para poder iniciar sesion en un dispositivo desconocido. Aunque coloques la contraseña correcta, si el sistema de 'aprobaciones de inicio de sesion' esta activado, no podras ingresar a tu cuenta de Facebook al menos que ingreses el codigo unico que sera enviado inmediatamente a tu celular.

    Dicho codigo unico genera una cookie que Facebook usara para poder 'reconocer' tu computadora (o navegador) la proxima vez que quieras iniciar sesion desde ese mismo dispositivo, lo cual evitara que tengas que escribir un codigo nuevo cada vez que quieras iniciar sesion en Facebook.

    Para activar el sistema de Aprobacion de inicio de sesion debes ir aqui:

    https://www.facebook.com/s…