Ir al contenido principal

Analisis de un virus: El gusano Rorpian...

Hace tan solo unos dias tuve que limpiar una computadora infectada con el rogue (antivirus falso) Security Protection. Por supuesto, use mi procedimiento regular para comenzar la limpieza, el cual incluye usar un flash drive (pendrive) donde tengo instaladas mis 'herramientas de limpieza'. Afortunadamente, todo salio perfecto. Y luego de un par de 'reboots', la computadora de mi cliente estaba como nueva...

Asi es que me dispuse a limpiar una segunda computadora.... Luego de insertarle el flashdrive y abrir el directorio raiz del mismo (la carpeta principal del mismo), note un par de archivos que no deberian estar ahi bajo ninguna aspecto...
  • myporno.avi.lnk 
  • pornmovs.lnk  


Como habian aparecido magicamente en mi flash drive, si yo no los habia puesto alli?

Lo que habia sucedido es que la computadora infectada con el Security Protection tambien estaba infectada con otro virus...El gusano Rorpian..., el cual habia creado esos archivos en mi flashdrive automaticamente cuando lo inserte en el puerto USB de la computadora!

Y como funciona este gusano?

La manera en que un virus o un gusano o cualquier malware en general entra a una PC varia de computadora a computadora y de usuario a usuario. Sin embargo, una caracteristica siempre presente es que engañan a la victima haciendole creer que lo que van a descargar a su computadora y luego ejecutar es inofensivo. Puede tratarse de un screensaver, un juego, una foto, un video, un codec de video, una pagina de internet con scripts maliciosos, etc.
Cuando la victima ejecuta el archivo infectado con el gusano Rorpian, que puede haber provenido de cualquiera de las fuentes mencionadas arriba, el gusano se copia a si mismo (tipico de virus y worms) en las carpetas temporales de Windows usando un nombre aleatorio con la siguiente estructura:

                                                                svr8E0.tmp


Luego el gusanito crea un par de entradas en el Registro de Windows (base de datos que guarda toda la configuracion del sistema) que le permitiran cargarse en la memoria de la computadora cada vez que esta sea encendida, como si se tratara de un 'servicio' real y legitimo del Sistema Operativo. La manera en que lo hace esta tan bien diseñada que es bien dificil detectarlo al menos que uno sospeche que dicho gusano puede estar afectando al sistema, ya que se 'mimetiza' con otros servicios reales y necesarios de Windows.

Al cargarse como 'servicio' cada vez que la PC es encendida, el gusano puede realizar todo tipo de 'tareas' en tu PC sin que tu te des cuenta en lo mas minimo. Como por ejemplo:


  • Crear archivos infectados en flashdrives, pendrives, discos duros externos y otras computadoras que formen parte de una red de acceso local. Recuerdan los dos archivos que aparecieron magicamente en mi flash drive?
  • Conectarse automaticamente a servidores, descargar y ejecutar mas virus, como el mencionado rogue Security Protection.

Los peligros del Autorun/Autoplay

Entre los archivos que este gusano crea existen dos que aprovechan vulnerabilidades en el diseño del sistema operativo Windows para poder infectar rapidamente una computadora.

  • La extension lnk de los accesos directos: esta vulnerabilidad le permite al gusano rorpian autoejecutarse aunque no le hagas click a ningun archivo en particular! Simplemente con el hecho de abrir una carpeta que contengan los archivos myporno.avi.lnk y pornomovs.lnk, el gusano se puede autoejectuar e infectar una nueva computadora.
  • El archivo Autorun.inf: este es un problema mas que nada en computadoras con Windows XP. El archivo Autorun.inf les permite a los CD's o Flashdrives ejecutar automaticamente un programa luego de haberlos insertado en la computadora. Los archivos Autorun.inf son muy comunes en CD's que contienen drivers para webcams, impresoras, etc. Al insertarlos, el archivo Autorun ejecuta automaticamente el archivo instalador y la instalacion de los drivers comienza automaticamente. Por supuesto, en el caso del gusano Rorpian, el archivo Autorun.inf que este crea, le indica a la PC ejecutar automaticamente el virus apenas insertas el CD o Flashdrive infectado.
 Windows Vista y Windows 7 no permiten que el archivo Autorun.inf se ejecute automaticamente por razones de seguridad.
    Etiquetas:

    Comentarios

    1. Anónimo28 de agosto de 2011, 11:10 p.m.

      un amigo tiene ese securiti protector. komo se lo saco?

      ResponderBorrar
    2. Unknown28 de agosto de 2011, 11:21 p.m.

      remover un worm como ese es algo bastante complicado. asi que al menos que tengas experencia en el campo de la eliminacion de virus, te recomiendo que mejor busques ayuda profesional. Si vives en el area de Concord en Carolina del Norte, estare mas que contento en ayudarte. Si no tambien podemos usar el servicio de asistencia remota...

      ResponderBorrar

    Publicar un comentario

    Entradas más populares de este blog

    Codigos ASCII

    ASCII (aski) significa American Standard Code for Information Interchange y se trata, a grandes rasgos, de un sistema de codificacion de caracteres . Esto es un sistema que le asigna a cada letra, numero, simbolo, etc un valor, usualmente numerico. Dicho valor es el que le indica a la computadora que caracter generar cuando presionas por ejemplo la tecla A. Para escribir decenas de otros simbolos no presentes visualmente en los teclados, podemos usar la tecla ALT y el teclado numerico. Por ejemplo, para escribir la letra ñ en teclados americanos, debemos mantener la tecla ALT presionada y a la vez escribir 164 en el teclado numerico ( el cual debe ser activado previamente, generalmente presionando la tecla de NumLock ). La siguiente es una lista con los codigos ASCII mas populares. Para usarla, presiona ALT y escribe el numero indicado usando el teclado numerico...  ☺ Smiley Blanco  ☻ Smiley Negro ♥ corazón Negro ♦ Diamante ♣ clavo (Clover / Puppyfeet) ♠ Spade
    10 comentarios
    Leer más

    Anatomia de una ventana del Sistema Operativo Microsoft Windows

    Hoy vamos a aprender un poco sobre los nombres tecnicos de las distintas partes de una ventana de Windows. En la siguiente foto, vemos lo que se conoce como el 'Desktop' o 'Escritorio de Windows' y sus partes mas importantes: Escritorio de Windows 7 y sus partes principales En la siguiente foto, podemos apreciar el Windows Explorer (NO confundir con el Internet Explorer!) y sus partes principales: Partes de una ventana del Windows Explorer A continuacion, vemos una ventana de Firefox y los nombres tecnicos de sus distintos componentes: Ventana de Firefox Y por ultimo, dos caracteristicas exclusivas del sistema operativo Windows 7: Aero Peek y Jump Lists: Aero Peek Jump Lists Puedes aprender a a usar las Listas de Salto (Jump Lists) en este articulo.
    4 comentarios
    Leer más

    Aprobaciones de inicio de sesion para Facebook

    Al igual que el sistema de Verificacion de doble paso de Google, Facebook tambien ofrece un sistema para iniciar sesion que aumenta radicalmente la seguridad de tu cuenta de Facebook. Basicamente se trata de recibir un codigo numerico unico al celular asociado con tu cuenta de Facebook e ingresar ese codigo para poder iniciar sesion en un dispositivo desconocido. Aunque coloques la contraseña correcta, si el sistema de ' aprobaciones de inicio de sesion ' esta activado, no podras ingresar a tu cuenta de Facebook al menos que ingreses el codigo unico que sera enviado inmediatamente a tu celular. Dicho codigo unico genera una cookie que Facebook usara para poder 'reconocer' tu computadora (o navegador) la proxima vez que quieras iniciar sesion desde ese mismo dispositivo, lo cual evitara que tengas que escribir un codigo nuevo cada vez que quieras iniciar sesion en Facebook. Para activar el sistema de Aprobacion de inicio de sesion debes ir aqui: https://www.face
    43 comentarios
    Leer más