Hace unos días anónimo vino a verme, yo estaba liado y al principio no le hice mucho caso:
- He instalado una cosa y no se como quitarla.
- ¿El qué? -Mientras seguía mirando mi pantalla.
- Pues algo... no lo se... algo...
- Lo buscamos, desinstalamos y listo. -No entendía nada pero lo notaba nervioso.
- No... no... es un algo y no se que es, creo que algún tipo de virus.
Anónimo buscaba un programa. La web de los creadores lo redirigió a otro sitio para hacer la descarga, como la última vez, y se baja el archivo: setup.exe. Por ahora todo correcto. Una vez descargado hace doble click sobre él, cuando lo ejecuta se abre una ventana durante un segundo (o menos) y se cierra sin dar ningún error.
Cuando Anónimo vió lo que hizo el programa se fijó en una cosa: tanto el nombre del archivo como el tamaño no coincidía con los datos de la web. Se maldecía mientras en su cabeza se repetía sin parar "te l'has comio XD" y entonces empezaron los sudores fríos. Anónimo es un usuario avanzado y se temía cualquier cosa.
Pasar el antivirus ya no tenía sentido así que para estar seguro que la había cagado buscó los archivos modificados desde la hora en la que lo había descargado, apenas unos minutos. Imaginad su cara cuando los archivos y carpetas con nombres raros aparecían en pantalla. Estaba claro, el programa era malicioso y lo peor, no sabía que podía hacerle a su equipo.
El mal ya estaba hecho, así que ahora tocaba saber qué era. Lo primero que hicimos fue subir el archivo a VirusTotal, podéis ver el resultado en la imagen y el informe aquí. Virustotal muestra un listado de los antivirus que está usando y si alguno de ellos lo detecta como virus.
Sólo 6 de los 46 motores antivirus lo detectaron, el 13%, me parecen pocos. Pero lo importante es que ya sabíamos que era ese algo y como eliminarlo. Elegimos uno de los 6, el que nos pareció, y bajamos una versión de prueba desde otro equipo. En un rato ya estaba solucionado y de paso limpió alguna cosilla más.
Moraleja
Hay que estar siempre atento, desde cualquier sitio puede llegarte un archivo malintencionado. Antes de ejecutar cualquier aplicación verifica siempre que puedas el checksum del archivo. Si no es posible y crees que puede ser peligroso pásalo por otros antivirus además del tuyo, VirusTotal es una herramienta genial para eso. Y sobre todo recuerda que los antivirus no son infalibles.
2 comentarios:
Con que miraste el historial de modificación de ficheros?
Exactamente no es como busco por la hora, si lo ordenó o añadió otro comando.
Para buscar archivos modificados en una carpeta tenemos un filtro preparado por MS.
Abre la carpeta en la que quieres buscar. Haz clic sobre el campo de busqueda y te aparecerá al final un par de filtros predefinidos: uno para buscar por fecha y otro por tamaño. Tienen hasta un pequeño asistente para facilitar la tarea.
Publicar un comentario