Seguramente la frase pertenezca a algún maestro de ninjitsu muy conocido:

“El mejor escondite, es a simple vista…”

Hoy me encontré con un virus que me cagó la teoría. Siempre esperé de un virus que se camufle, intente pasar desapercibido al ojo avezado y haga uso de todas las técnicas existentes y arriesgadas proezas para que no notes su presencia. Este no, todo lo contrario.

Al respecto tengo varias teorías:

• Es un virus Zen: Al igual que un Ninja, sabe que el mejor escondite es a simple vista e intenta mimetizarse con el entorno haciendo uso de absolutamente nada, para desconcertar.
• Lo programó una persona con una severa discapacidad mental.
• Lo creó un programador semi-mini-junior de no mas de 7 años de edad que no sabe diferenciar un archivo con atributos de oculto de uno con atributos de sistema.
• No se oculta en el afán de insultar a la inteligencia del usuario. Su creador mira los logs que envía el troyano todas las noches hasta que le empiecen a doler los abdominales de tanto reírse.
• Lo combinación de al menos dos de las anteriores.

Estoy hablando del virus mas zonzo que existe si me olvido del virus gallego: Estoy hablando del Trojan Spy Win32/Bancos Gen!H.(Hasta el nombre que le ha dado Microsoft es estúpido).

Lo detecté tirando de SecuestrameEsta, Era como muy obvio, se pasaba de obvio, el muy imbécil crea una clave en el registro exactamente donde uno esperaría que la cree:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y para ponerle la guinda al postre, carga desde una clave con nombre: “JavaUpdate09” un archivo con extensión .cpl:

c:\systeam\winthlxp09byte.cpl

Como si todo lo anterior no fuera poco, pobrecito hacedor de virus, ¿C:\systeam?

¿Me estás jodiendo? ¿Dónde aprendiste a hacer virus, en el palacio de la risa?

• c:\systeam
• c:\commonfiles

Como era de esperarse, ni siquiera tuve que matar procesos solidarios ni nada. Fuera proceso del administrador de tareas, fuera clave del registro, borré las dos carpetas y hasta nunca virus.

El proceso de infección lo desconozco pero seguro que fue igual de estúpido, nada de polimórficos incrustados en ejecutables o exploits a vulnerabilidades zero-day. Hasta da risa que pretendan robar dinero de cuentas bancarias con tan poca herramienta cuando otros pobres boqueteros se pasan meses enteros excavando túneles bajo tierra para llegar a la bóveda… La vida es muy injusta con aquellos que quieren vivir fuera de la ley sin saber programar…

Otro virus mas para mi Forever Virus Collection Vol. 3, irá a parar al mismo RAR de máxima seguridad en donde mantengo contenidos y a raya a otros virus bien jodidos como el w32.Virut o el viejo Sasser que lleva tantos años ahí encerrado ya que debe ser como el viejo que le consigue cigarrillos a todos en la carcel. A este pobrecito, algo me dice que los demás lo van a tomar de punto y le van a hacer de todo, como en las películas.

Y se lo merece. ¿Podrá alguna vez un virus ser mas zonzo que este?