miércoles, 30 de enero de 2008

Andaluces de Jaén... wiineros altivos

Que? ¿Nuncas has vareado? ¿Nunca te has levantado a las tantas de la mañana, para coger en un todoterreno un camino embarrado, a pasar frío toda la mañana, mientras con una vara le das a las putas aceitunas para que caigan en una red para cogerlas, que si se van fuera muchas las tienes que recoger a mano?

Pues ya tienes la solución para que desde la comodidad del salón del hogar te sientas como en un olivar de Jodar:



Cómo acabar con el Perlovga.B

No es que me pase a menudo, porque suelo cuidar mucho de quién tomo y conecto dispositivos extraibles,  pero hay ocasiones en que es casi inevitable tener que coger un archivo y no tienes posibilidad material de desinfectarlo previamente.

El caso es que me pille el molesto Perlovga.B, un troyano que se distribuye por extraibles, usando la auto-ejecución que hay Windows de todo lo que tenga un autorun.inf en el raiz. Tras verlo mil veces en el curro, lo "contraje" en casa, sabiendo que lo pillaba. Es poco dañino a priori, pero es molesto a más no poder, terminas pegándoselo a los amigos, y da mucho por culo que esté todo el rato tratando de salir a Internet.

¿Cómo funciona?

El disco que pinches llevará 3 archivos:
    - Autorun.inf que lleva la orden de copiado.
    - Copy.exe, que ejecuta la copia.
    - Host.exe, que es el ejecutable que lleva la infección al registro y al disco duro.

Una vez infectado tendrás
    - %windir%\svchost.exe (nada que ver con %windir%\system32\svchost.exe), que se ejecuta en la carga de windows para lanzar los otros ejecutables.
    - %windir%\temp1.exe y %windir%\temp2.exe. El primero es el que copia en los extraibles que conectes en tu equipo los 3 archivos para infección (los 3 anteriormente vistos). Es el que extiende la infección. Temp2.exe trata de conectarse a Inet y sondea cada cierto tiempo para salir (ZoneAlarm me lo indicaba cada poco). Temp1.exe y Temp2.exe comprueban también que el otro esté también ejecutándose, cada poco, para lanzarlo si es necesario.

¿Como acabar con él?

Has pillado el Perlovga y lo acabas de notar (has visto los archivos, o el firewall te avisa, etc). Pues entonces:

    - No saques el disco USB, tarjeta, etc que te haya infectado. Déjalo conectado.
    - Termina con los procesos temp1.exe y temp2.exe. (si acabas con 1 sólo, el otro lo   levanta).
    - Bórralos de la carpeta \Windows\.
    - Borra el svchost de la carpeta \windows\.
    - Métete en el registo y acaba con la entrada de nombre "load" y contenido "c:\windows\svchost.exe", que está en \HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\.
    - Borra los archivos copy.exe, host.exe y autorun.inf que están en el extraible, y quizás en tu disco duro.

Y listo.