martes, 10 de noviembre de 2009

Convite VIP

Cualquier día, en el laburo de 486...

Usuario: Che, 486. Podés venir? Tengo un mail que no puedo abrir.
486 recorre los diez metros hasta la maquina de Usuario, tratando de interpretar "mail que no puedo abrir": ¿Contraseña olvidada?¿Mayúsculas encendidas?¿Falla del navegador?¿Ausencia de conexión?¿Attachment no estandard?... Las apuestas son infinitas, aunque la experiencia suele acotar las posibilidades. Llega hasta la máquina y ve ésto.


(No exactamente, lo vio en Hotmail+IE. La captura es en gmail+firefox)

486 (a primera vista): No lo abras, es un virus.
Usuario: Cómo sabés?
486: Uno: Está en portugués. Dos: Intenta imitar el formato de los links a los adjuntos de hotmail, pero las palabras tambien estan en portugués. Tres: Quiere que abras el adjunto a toda costa. Cuatro: Todos los links llevan a "http://hostsite2008.blogspot.com/feeds/posts/default". Por eso: no lo abras, es un virus.
Usuario: Bueno, pero igual no anda!
486: Cómo sabés?
Usuario: Porque lo bajé al escritorio, le hice doble click y no hace nada...

Conclusión.
Querido encargado de mantenimiento de pcs con internet:Nunca subestimes las ganas que tiene un usuario de abrir un attach de fuente desconocida. En este caso, la bestezuela habilito los links del mensaje, bajó el archivo y lo ejecutó tratando de ver su invitación a la fiesta VIP. Y hasta llamó al técnico!


Información adicional para el gremio: El famoso convite vip es un virus bastante simple (hasta donde pude ver, al menos). Se ejecuta al inicio del sistema, y cada vez que uno se loguea en su cuenta de hotmail se automanda a todos los contactos. También deshabilita la opción para ver archivos ocultos. Hasta ahora lo detectan la mitad de los antivirus (con una falla alarmante de Avast!) , y aunque Firefox reporta la web como atacante, IE nos da el cartelito de abrir o guardar como si nada, por lo que no viene mal tener algun apunte para su desinfección.

El virus un proceso que se esconde detrás de una llamada legítima a una dll (RUNDLL32.exe), cosa bastante astuta porque lo hace más difícil de encontrar con Process explorer (RUNDLL32.exe es parte del sistema, y tiene firma digital de MS). De todos modos, el HijackThis lo botonea así:

(ya saben, click para ampliar y todo eso)

Para sacarlo cerramos todo, matamos el proceso rundll32.exe, habilitamos la vista de ocultos y de sistema y borramos a mano el archivo C:\WINDOWS\SYSTEM32\Snxmsh.exe. También corremos el HijackThis y arreglamos la entrada en el registro. En caso de que no nos permita habilitar la vista de ocultos podemos usar el bonito RegUnlocker.

Enjoy!

13 comentarios:

Nostromo ADF dijo...

Los antivirus hoy en día no sirven de mucho, solo pillan la mitad de los virus que circulan por ahí. Lo único que sirve es el sentido común, educar a los usuarios o sino cortarles las manos .

CoskiBukowski dijo...

Yo le hubiese dicho: cuando le hiciste doble click, infectó el disco duro, y ahora, si el mouse queda más de 3 minutos quiero, se borra toda la información de la máquina, incluídas tus fotos y trabajos, y se cambian las contraseñas de tu facebook y mail por caracteres al azar; asi que te "recomendaría quedarte al menos 3 días moviendo el mouse contínuamente, hasta que pueda encontrar el antivirus que lo puede desinfectar..."
Mientras, te tomás un cafecito.

Por BOLUDO!!

486 dijo...

Coski: si fuera un cliente mio le hago algo peor: le cobro!

Lex Sparrow dijo...

El que es tonto es tonto. Digas lo que digas lo abrirá. Y sí, yo también cobro al que es tonto.

Anónimo dijo...

Tiene buena pinta ese RegUnlocker. Lamentablemente el enlace de descarga está roto. ¿Podrias publicarlo?

soldenoche dijo...

hola 486, un clasico de los usuarios, seguido por .. no se como se infecta a cada rato la maquina !!..
siempre leo tu blog y me agrada tu forma de escribir,
saludos y como dicen otros comentarios, yo tambien le hubiese cobrado por gil.

486 dijo...

Gracias a todos!
Anónimo del 13/11: el enlace anda! Buscalo al final de la página.

Anónimo dijo...

no todos son sabios algunos estan aprendiendo o ustedes nunca metieron los dedos denle la solucion y todos contentos te lo ganas como cliente sean gentiles

Elios dijo...

Hola amigo, quiero proponerte un negocio... comprarte enlaces y poner publicidad en tu blog, solo publicidad no intrusiva, si te interesa responde a elioshdez (@) gmail.com

teddybearsperson dijo...

Personalised Birthday Teddy Bear Gifts
Create a Special Personalised Teddy Bear Birthday Gift Today
Why not create a Unique Birthday Gift with a Personalised Teddy Bear? Great Gift Ideas from www.teddybearspersonalised.com . You select a Teddy Bear from the comprehensive range and have it personalised with any name or Birthday Message and have it sent directly to any UK address. With Easy ordering and Free Fast UK Delivery a Personalised Birthday Day Gift from www.teddybearspersonalised.com is the perfect way to send a Fabulous Birthday Gift. Cute and Huggable Teddy Bears with Easy Ordering, Free Birthday Card and Free Fast UK Delivery

Leonardo Bouin dijo...

Son muy malos con el usuario.

Y si el señor hubiese abierto su casilla de mail a la espera de una invitación vip del aclamado país carioca?

No sería esta, acaso, una casualidad probable?

Que inhumano, que incomprensivo puede llegar a ser el técnico matriculado.

personalised teddy bear dijo...

hello!! Very interesting discussion glad that I came across such informative post. Keep up the good work friend. Glad to be part of your net community.personalised teddy bear

Lucas Cabral dijo...

Como veras sigo leyendo este blog y publicando comentarios... y no puedo parar de reirme en varios de tus añadidos fuera de lo tecnico...
Excelente entrada y me mori de risa.