viernes, 23 de marzo de 2007

Vundo

La historia es muy larga, así que solo voy a decir lo principal: un usuario tenía un ordenador con windows xp que le iba muy lento y le sacaba popups. Ajá, spyware. Vale, el diagnóstico hecho a los 20 segundos se mostró acertado, pero quitarlo fue otra cosa...




Explicación corta:

5 horas de trabajo más tarde puedo decir que he aprendido 2 cosas:

1- Si usas el hijack this, renombra el ejecutable. El Vundo de los $%&# lo detecta y oculta sus entradas, pero si en lugar de llamarse "hijackthis.exe" se llama "fulanito.exe" sí aparece. Una costumbre que debería recordar para próximas encarnaciones del problema.

2- Si te salen pop-ups de "win antivirus pro 2006", ve a esta página, descarga el VundoFix, y reza. Tuve que ejecutarlo 3 veces, la última en modo a prueba de errores de windows, para que funcionase.

Lo que no entiendo es por qué el #$%& antivirus no puede quitarlo. Por lo menos en su página de información podría decir "lo que yo llamo trojan_agent.gtz (o algo así) los que realmente pueden quitarlo lo llaman vundo". Y como pille al que creó esa #~$&% de spyware...

Búsqueda en google que me dio la clave "win antivirus pro 2006 spyware" (lo que salía en los popups + "spyware") (y obviamente sin comillas, las pongo yo para separarlo de lo que escribo yo)




Ahora la explicación larga

El Spyware es un programa que se instala sin tu consentimiento (a veces a través de vulnerabilidades del navegador, otras veces pegado a un programa que sí quieres instalar). Una vez instalado, hace cosas que tu no quieres (desde sacarte ventanas con publicidad a meter tu ordenador en una red de zombies para atacar otros). No sólo eso, sino que normalmente es muy difícil quitarlo (no, no traen desinstalador).

La forma en que te libras de ello es básicamente evitando que el programa arranque y luego borrando los archivos que lo contienen. Si no lo haces en ese orden, el programa, que está funcionando, se copiará a sí mismo en otro lado y vuelta a empezar...

Puedes evitar que arranque modificando el registro de Windows (normalmente en HKEY_LOCAL_MACHINE - Software - Microsoft - Windows - Current Version - Run) pero hay que tener cuidado, porque no todo lo que arranca con windows es spyware (vale, puede que el windows en sí si lo sea). No toques nada que no sepas lo que sea, y busca en google el nombre de lo que no conozcas. Muchos spywares ponen nombres aleatorios, por lo que eso es una buena señal. (ejemplo de nombre no aleatorio: "alcmtr", ejemplo de nombre aleatorio "azxvlq"... ja!). Antes de nada, si no sabes lo que haces, no toques nada, y lee el siguiente párrafo.

En lugar de entrar tú en el registro, puedes usar un programa que lo lea y te muestre todos los programas que te arrancan. El más común es el hijack this!. No requiere instalación, simplemente descárgalo, descomprímelo (importante), cámbiale el nombre (lección número 1 de la primera parte, mira arriba) y ejecútalo. Te sacará una lista de los programas que arrancan con Windows. Crea un log, y entonces tienes 2 opciones:
  • Buscar un foro donde puedan decirte lo que tienes que hacer (busca en google "hijackthis foro" sin comillas).

  • o usar un analizador automático. Yo uso éste. Pegas el log y te dice si cree que cada una de las entradas corresponde a un programa legítimo o no.


Ahora, una vez hayas localizado los programas "sospechosos", marca su casilla en el hijack this y dile que los "arregle" (fix checked). Si no te deja, arranca en modo a prueba de fallos de windows (al arrancar el ordenador pulsa repetidamente F8) y vuelve a intentarlo. Ten cuidado con lo que haces, porque puede dejar de funcionarte el antivirus, la grabadora de DVDs o lo que sea...

Bueno, todo esto es muy interesante, pero no funciona con Vundo. Para ello hay que averiguar que lo tienes (una buena pista son los popups con win antivirus pro 2006). Si es así, prueba a descargarte el vundofix del que hablo arriba, y sigue las instrucciones que dan.

¡Buena suerte!