Para los que buscais el cleaner lo podeis descargar en www.nod32.it/cgi-bin/mapdl.pl?tool=VBClean o aqui ( copia local )
Todas mis experiencias anteriores sobre viruses habian sido faciles de resolver, simplemente habia tenido que rular el activescan del panda y a hacer millas. Esta vez no, esta vez me ha tocado un virus que ninguna de las empresas de antivirus conocia hasta este medio dia.
Todo empezo ayer por la tarde cuando me llamaron desde el trabajo a ultima hora de la tarde comentandome que los pc se habian quedado sin punteros y que habian tenido que reiniciar.
Subi para ver que sucedia y lo que hice fue dejar el activescan de pandasoftware.com en 2 pcs para llegar al dia siguiente temprano y ver que todo estaba en su sitio ( Todo esto despues de darme cuenta que se cerraba la web del antivirus al acceder a ella cuando estaba en marcha los procesos Winzip.exe y Update.exe , sospechoso ¿no? ;P )
Iluso de mi, he llegado esta mañana con la esperanza de que todo estaria solucionado con reiniciar las maquinas que habia dejado con el antivirus y comprobar que no se volvian a lanzar Winzip.exe y/o Update.exe. En realidad si que no los volvia a lanzar asi que nos hemos dedicado a pasarle el activescan a todos y dejarlos con la red desactivada para poder ir limpiando sin ser contagiados por los pc's que quedaban por "limpiar"
Ok, eran las 9 o 9:30 cuando hemos dado por erradicado el virus cuando 1 hora mas tarde todo ha vuelto a estar como estaba... Nos hemos dado cuenta que el virus creaba tareas programadas para relanzarse y volver a infectarlo todo y tambien creaba un archivo llamado winzip_tmp.exe que alojaba en c:\ , c:\winnt o c:\windows.
¿Cual era la solucion ahora? Matar los procesos Winzip.exe y Update.exe, borrar las tareas programadas y los winzip_tmp.exe.
Menuda sopresa cuando hemos reiniciado una maquina y hemos visto otra vez los dichosos procesos ejecutandose mas joviales que nunca. En ese momento o un poco antes quizas, Ximo se habia dado cuenta que el winzip_tmp.exe se mutaba en archivos .exe con nombres conocidos.
En este punto he empezado a pensar en un script vbs que hiciera todos los trabajos necesarios para erradicar el virus al iniciar el sistema. Menos mal que Jordi ha dado con el cleaner comentado anteriormente por que tambien estaba involucrado un tal Rundll16.exe que el activescan habia catalogado de adware y por eso lo habiamos obviado desde un principio.
Me siento medio culpable por que cuando me decidi a securizar los recursos de la red decidi crear una carpeta public con permisos de lectura y escritura para todos los usuarios autentificados del dominio inducido por la usabilidad en lugar de por la seguridad ( graso error )
Aunque el verdadero culpable ha sido el que ha abierto un correo con el asunto "Hot movie", "Fuckin Kama Sutra pics", "FW: Funny :)", etc... como se puede ver en http://www.vsantivirus.com/vb-nei.htm si es que hay pa matarlos...
Add new comment