martes, 10 de noviembre de 2009

Convite VIP

Cualquier día, en el laburo de 486...

Usuario: Che, 486. Podés venir? Tengo un mail que no puedo abrir.
486 recorre los diez metros hasta la maquina de Usuario, tratando de interpretar "mail que no puedo abrir": ¿Contraseña olvidada?¿Mayúsculas encendidas?¿Falla del navegador?¿Ausencia de conexión?¿Attachment no estandard?... Las apuestas son infinitas, aunque la experiencia suele acotar las posibilidades. Llega hasta la máquina y ve ésto.


(No exactamente, lo vio en Hotmail+IE. La captura es en gmail+firefox)

486 (a primera vista): No lo abras, es un virus.
Usuario: Cómo sabés?
486: Uno: Está en portugués. Dos: Intenta imitar el formato de los links a los adjuntos de hotmail, pero las palabras tambien estan en portugués. Tres: Quiere que abras el adjunto a toda costa. Cuatro: Todos los links llevan a "http://hostsite2008.blogspot.com/feeds/posts/default". Por eso: no lo abras, es un virus.
Usuario: Bueno, pero igual no anda!
486: Cómo sabés?
Usuario: Porque lo bajé al escritorio, le hice doble click y no hace nada...

Conclusión.
Querido encargado de mantenimiento de pcs con internet:Nunca subestimes las ganas que tiene un usuario de abrir un attach de fuente desconocida. En este caso, la bestezuela habilito los links del mensaje, bajó el archivo y lo ejecutó tratando de ver su invitación a la fiesta VIP. Y hasta llamó al técnico!


Información adicional para el gremio: El famoso convite vip es un virus bastante simple (hasta donde pude ver, al menos). Se ejecuta al inicio del sistema, y cada vez que uno se loguea en su cuenta de hotmail se automanda a todos los contactos. También deshabilita la opción para ver archivos ocultos. Hasta ahora lo detectan la mitad de los antivirus (con una falla alarmante de Avast!) , y aunque Firefox reporta la web como atacante, IE nos da el cartelito de abrir o guardar como si nada, por lo que no viene mal tener algun apunte para su desinfección.

El virus un proceso que se esconde detrás de una llamada legítima a una dll (RUNDLL32.exe), cosa bastante astuta porque lo hace más difícil de encontrar con Process explorer (RUNDLL32.exe es parte del sistema, y tiene firma digital de MS). De todos modos, el HijackThis lo botonea así:

(ya saben, click para ampliar y todo eso)

Para sacarlo cerramos todo, matamos el proceso rundll32.exe, habilitamos la vista de ocultos y de sistema y borramos a mano el archivo C:\WINDOWS\SYSTEM32\Snxmsh.exe. También corremos el HijackThis y arreglamos la entrada en el registro. En caso de que no nos permita habilitar la vista de ocultos podemos usar el bonito RegUnlocker.

Enjoy!