El mejor escondite es a simple vista

Seguramente la frase pertenezca a algún maestro de ninjitsu muy conocido:

“El mejor escondite, es a simple vista…”

Hoy me encontré con un virus que me cagó la teoría. Siempre esperé de un virus que se camufle, intente pasar desapercibido al ojo avezado y haga uso de todas las técnicas existentes y arriesgadas proezas para que no notes su presencia. Este no, todo lo contrario.

En un artículo sobre virus zonzos, no puede faltar el antivirus mas zonzo tampoco.

En un artículo sobre virus zonzos, no puede faltar el antivirus mas zonzo tampoco.

Al respecto tengo varias teorías:

  • Es un virus Zen: Al igual que un Ninja, sabe que el mejor escondite es a simple vista e intenta mimetizarse con el entorno haciendo uso de absolutamente nada, para desconcertar.
  • Lo programó una persona con una severa discapacidad mental.
  • Lo creó un programador semi-mini-junior de no mas de 7 años de edad que no sabe diferenciar un archivo con atributos de oculto de uno con atributos de sistema.
  • No se oculta en el afán de insultar a la inteligencia del usuario. Su creador mira los logs que envía el troyano todas las noches hasta que le empiecen a doler los abdominales de tanto reírse.
  • Lo combinación de al menos dos de las anteriores.

Estoy hablando del virus mas zonzo que existe si me olvido del virus gallego: Estoy hablando del Trojan Spy Win32/Bancos Gen!H.(Hasta el nombre que le ha dado Microsoft es estúpido).

Lo detecté tirando de SecuestrameEsta, Era como muy obvio, se pasaba de obvio, el muy imbécil crea una clave en el registro exactamente donde uno esperaría que la cree:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y para ponerle la guinda al postre, carga desde una clave con nombre: “JavaUpdate09” un archivo con extensión .cpl:

c:\systeam\winthlxp09byte.cpl

Como si todo lo anterior no fuera poco, pobrecito hacedor de virus, ¿C:\systeam?

¿Me estás jodiendo? ¿Dónde aprendiste a hacer virus, en el palacio de la risa?

  • c:\systeam
  • c:\commonfiles

Como era de esperarse, ni siquiera tuve que matar procesos solidarios ni nada. Fuera proceso del administrador de tareas, fuera clave del registro, borré las dos carpetas y hasta nunca virus.

El proceso de infección lo desconozco pero seguro que fue igual de estúpido, nada de polimórficos incrustados en ejecutables o exploits a vulnerabilidades zero-day. Hasta da risa que pretendan robar dinero de cuentas bancarias con tan poca herramienta cuando otros pobres boqueteros se pasan meses enteros excavando túneles bajo tierra para llegar a la bóveda… La vida es muy injusta con aquellos que quieren vivir fuera de la ley sin saber programar…

Otro virus mas para mi Forever Virus Collection Vol. 3, irá a parar al mismo RAR de máxima seguridad en donde mantengo contenidos y a raya a otros virus bien jodidos como el w32.Virut o el viejo Sasser que lleva tantos años ahí encerrado ya que debe ser como el viejo que le consigue cigarrillos a todos en la carcel. A este pobrecito, algo me dice que los demás lo van a tomar de punto y le van a hacer de todo, como en las películas.

Y se lo merece. ¿Podrá alguna vez un virus ser mas zonzo que este?

Maldito Nerd

Informático por elección, linuxero por convicción, viejo y choto por que no queda otra, el tiempo pasa. Escribo sobre lo que mas me gusta: La música y las computadoras.

More Posts - Website - Twitter - Facebook - Google Plus

5 comentarios

  1. Hay muchos de esos facilongos 100% eliminables a mano, sin necesidad de usar el SecuestrameEsta. Alcanza con que revisés con lo que tengas a mano HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, borrás lo que tenga nombre feo (o hacés la mariconada del msconfig de ponerlo en la subclave “Run-“) y listo el llopo. También podrías revisar la lista de servicios que está en HKLM/System/CurrentControlSet/Services si hay alguna con nonbre mas feo que lo normal y volarlo también, y ahí si, voilá.

    Aparte Juan, por esa misma razón, no ser una maravilla técnica, es un troyano, y no un virus en serio onda un gusano.
    O sea… pensalo. Técnicamente, un .BAT que contenga adentro solo la línea “delete C:\\NTLDR” ya es un troyano. Y ejecutado por un usuario administrador, ya te garcó el arranque de Güindous
    Saludos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *