WIN32.Bagle
Empezamos el año con mal pie. Hace un par de días me di cuenta por casualidad de que tanto mi router como mi modem estaban trabajando a saco mientras que mi PC aparentemente no hacía nada. Lo primero que se me ocurrió fue que algún vecino pudiera estar accediendo a Internet (o lo que es peor, a mi PC) a través del router vía wifi, pero no: el wifi del router estaba configurado con seguridad WPA y además no reportaba ninguna conexión no autorizada.
Lo siguiente fue revisar que el firewall estuviese activado y ¡oh! primera sorpresa del día: el servicio de firewall estaba desactivado por las bravas. Esto me ha alarmado ya que es algo insólito y que nunca hago. ¿Será un virus? No, no puede ser porque el antivirus está actualizado a tope y siempre lo tengo activ… ¿Eh? ¿Dónde está el icono del antivirus? ¿Y por qué Windows no me ha avisado de que el antivirus ha caído?
La cosa no acaba ahí: si intentaba instalar otro antivirus, la instalación fallaba porque no se podía crear el ejecutable en su directorio. El antispyware también había caído: su ejecutable (.exe) no estaba en el directorio. En el registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) no había traza alguna de ningún programa que se lanzase al iniciar el equipo. Igualmente, en la lista de procesos activos no había ningún proceso sospechoso. Probé a arrancar en modo a prueba de fallos y, para mi sorpresa, era IMPOSIBLE ya que daba errores de inconsistencia en .dlls y drivers .sys.
Finalmente, temiéndome lo peor y tras probar varios antivirus online que me desesperaban por su lentitud y falta de acierto, arranqué con el Windows Vista que tengo instalado en otra partición y desde allí analicé todo el sistema con BitDefender. El resultado fue un montón de archivos infectados, del orden de 200. ¿Qué ha pasado? Muy sencillo: el culpable principal ha sido un gusano llamado WIN32.Bagle. Este gusano está clasificado dentro de la categoría de los troyanos ya que permite el acceso a un intruso que actúe desde el exterior del sistema. Pero lo maravilloso es la forma de funcionar de este troyano ya que también está clasificado como rootkit, programa que manipula el sistema operativo o lo interfiere de forma que hace prácticamente imposible detectar su presencia, ocultando procesos, archivos, claves de registro, etc. Esto supone que mientras que el virus está activo es virtualmente imposible deshacerse de él. Además se propaga a través de eMule y enviándose a si mismo por correo electrónico, de ahí la inexplicable actividad que aprecié en router y modem y que me hizo sospechar.
Moralejas:
- Cuando trabajes en un PC hazlo con un usuario sin permisos administrativos.
- Cuidadín: si usas NOD32 no desactives la detección heurística porque dejará de detectar muchas amenazas. A falta de uno perfecto, usa varios antivirus.
- Cuando te descargues material especialmente sensible (cracks para programas y juegos) asegúrate de pasarle manualmente varios antivirus (puedes tener uno instalado y un par de ellos online).
Sólo he comprendido el último consejo… jejeje
Comentado por Pau el día 15/01/2008 a las 13:16
Menudo hijo de su madre.
Tengo que revisar mis esquipos a ver si lo tengo, que si es tan retorcido vete tú a saber.
Comentado por Gabriel Cuesta el día 15/01/2008 a las 13:34
Pau: jejejeje… éste era especial para mis amiguetes geeks.
Gabi: pues sí, échales un vistazo por si acaso. Mi error más grande fue desactivar la detección heurística del NOD32 ya que mi copia no está… digamos… registrada y al conectar con su servicio online probablemente me lo desactivasen
Comentado por David el día 15/01/2008 a las 17:36
Jo, pues ahora me siento excluido. ¡Isaaaaaaaaa, dile algo a tu Davi que hace posts especiales para sus amigos geeks y no me entero!
Comentado por Pau el día 16/01/2008 a las 14:16
Je je je je je. No te preocupes Pau, yo tampoco me entero. Ya te acostumbraras
Comentado por Isa el día 17/01/2008 a las 21:03