domingo, noviembre 30, 2008

Bagle

Primero de todo decir que este post nace con la finalidad de ser una chuleta para la próxima vez que me infecte con Bagle y si de paso le sirve a alguien que este infectado pues mejor. En el fondo es peor tener que buscar la información de nuevo quitar el propio bixo. Así que entiendo que si no se está infectado, este post es de lo mas rallante que te puedes echar a la cara, así que lo he adornao con unos cuantos links para hacerlo más popular y no sólo para mi y remotamente alguien que esté infectado.

Anamnesi: Bagle es un gusano y por si solo no es peligroso como pone en muchas webs. Pero como buen gusano en su rutina de funcionamiento llama a otros "procesos infecciosos"(no sé a cuantos, ni cuales) que sí son algo más molestos. Estos otros procesos suelen ser rootkits y hijackers (son los que he experimentado) y no sé si algún otro XD.

Diagnóstico: Realmente no sabes cuando has sido infectado por Bagle pero te das cuenta que tu antivirus no funciona, que tu antispy tampoco lo hace, algunos procesos internos de windows dan problemas, periféricos que funcionaban ya no funcionan (por ej. la tarjeta de sonido), no te deja instalar según que programas, NO TE DEJA JUGAR A TUS JUEGOS ONLINE (y ahí me toco la fibra), etc. Esto es debido al resto de rootkits, hijackers y demás que el gusano llama a través de su rutina, que intuyo que será abrir ciertos puertos o usar los que ya hay abiertos y conectarse a sitios sin que te des cuenta. (bueno realmente ni lo sé ni me importa).

Claro está que un proceso así tan "peligroso" para la seguridad del sistema, ya que campa a sus anchas, su método de infección tiene que ser algo complejo como aprovechar un bug del sistema operativo ... PUES NO!! Bagle se ayuda de un otro virus para realizar la infección. Y este último si que es peligroso. Se trata de un virus de dos patas que se sienta delante del ordenador. Sí, Bagle es un ejecutable (ohhh!!) y si no lo instalamos nosotros mismos es difícil que este por si sólo lo haga. Es decir que a través del adjunto de un mail o un crack o vete a saber a lo que le das click al cabo del día se te instala. Así que si se quiere una buena profilaxis (por cierto buenísimo el corto) contra este tipo de infecciones no hay otra cosa que la de tener un buen hábito de uso (hay que ser buenos eh?XD).

Tratamiento y posología: Bueno vamos por materia. De las herramientas que hay por ahí para eliminar Bagle, si se está infectado por él no funcionarán si se arranca des del propio sistema infectado. Por lo tanto hay que arreglárselas para arrancar desde otro sistema operativo y poder hacer limpieza. Sacar el disco duro y meterlo en otro lado, puede ser una buena opción. Pero muchas veces ni disponemos de otro equipo para meterle el disco duro lleno de "cocos", ni apetece ponerse a desarmar. La solución es arrancar desde un disco autoarrancable con DOS o consola de control en DOS. Yo utilizo BartPE (p.ej.) pero ya digo cualquiera sirve.

Antes de nada es conveniente deshabilitar el Restaurar Sistema.

Se reinicia el ordenador y se arranca desde el CD (o lo que sea) autoarrancable. Una vez en la consola de DOS se buscan los siguientes archivos y se borran:

1-. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
2-. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
3-. C:\WINDOWS\SYSTEM32\WINTEMS.EXE
4-. C:\WINDOWS\system32\MDELK.EXE
5-. C:\Windows\system32\drivers\HIDR.EXE
5-. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Al igual todos no se encuentran (mejor) pero si haya alguno de ellos quiere decir que se está infectado.

Una vez borrados no quiere decir que ya se esté limpio (ojalá, Bagle lo que infecta es el registro) pero si que dará un pequeño margen tiempo para que cuando se arranque de nuevo el sistema se pueda restaurar todo de nuevo y poder ejecutar los antivirus y demás programas para limpiar malware del sistema.

Así que se arranca normalmente y se instala Elibagla (la descarga está abajo del todo), se intenta hacer utilizable el modo a prueba de fallos de windows (por si no te has dado cuenta el virus lo ha deshabilitado y cuando se arranca en dicho modo da un pantallazo azul) Archivo ejecutable que lo permite.

Se intenta arrancar en modo a prueba de fallos. Y si deja y todavía no se ha instalado el gusano, se vuelve a pasar Elibagla, se instala antivirus, el antiespias y los limpiadores de registro y demás herramientas para evitar infecciones.

Antes de que se pasen, se tienen que borrar unas entradas del registro de windows para que no se vuelvan a activar los rootkits y el gusano. Si no se puede volver a instalar el antivirus y demás quiere decir que los rootkits siguen activos. Se tendrá que volver a arrancar con el cd de arranque. La última vez lo tuve que hacer un par de veces, pero también tengo que decir que no había quitado las entradas en el registro.

Bien se va a <Inicio> ponemos "regedit" y buscamos las siguente entradas
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: drv_st_key = "%User Profile%\Application Data\hidn\hidn2.exe"
Clave: HKEY_CURRENT_USER\Software\FirstRun
Valor: FirstRun = "1"
Al igual en el valor no sale el mismo archivo pero si es de la misma sintaxis seguramente que será otro tipo de malware que está dando la lata. En todo caso eliminar la entrada.

Una vez eliminada la entrada se pasan otra vez los antivirus, antispys, limpiadores de registro y Elibagla por si acaso. Hay que pensar que hay muchos archivos maliciosos que no seríamos capaces de encontrarlos sin estas herramientas. Y si ha habido suerte... a otra cosa mariposa.

Nota: El conocimiento es como agua entre las manos.
Be watter my friend.

...post dedicado a Piticli.


Bibliografía: Google en general


----------------
Now playing: Transfer - 03. Domesticao
via FoxyTunes

sábado, noviembre 29, 2008

Neix el mon dintre l'ull

Para cualquier momento hay una canción. Pero cuando una canción es el momento, esa canción es especial. Gracias Mishima!!!!

Potser ens hauríem de preocupar. Suposem que totes les coses que havíem d’haver resolt no les hem resolt encara, poc a poc se’ns ha anat acumulant la feina i tot està per fer. I les promeses, sobretot les que mai ens vem dir, de tant secretes, de tan callades, encara s’han de complir, si és que s’han de complir algun dia. Que mai hem plantat cara als nostres somnis, ni tampoc als problemes: que volem ser? Que volem dir? Qui volem ser? Si ho tenim clar, com ho hauríem de fer? Amb qui podríem comptar? Comptes amb mi? Compto amb tu? Sí, potser ens hauríem de preocupar. De fet, jo em preocupo i de vegades tinc por, però de sobte com qui no vol la cosa d’un dia per un altre me n’oblido. I a la llarga que vols que et digui, al final de tot no sé com ni gràcies a què, ni per quin estrany mecanisme tota aquesta angoixa, tota aquesta por que sento em tranquil·litza, no sé com però em tranquil·litza, estic tranquil, tranquil.

Mishima -Set tota la vida-




----------------
Now playing: Mishima - Neix el món dintre l'ull
via FoxyTunes

lunes, noviembre 24, 2008

n52te

Ya somos más de uno los que hemos sucumbido ante la presencia del Belkin n52te .




No voy a rallar con las características del bixo pero si decir que de este tipo de mandos es el que mejor feeling me da. Habrá que probarlo XDD.

----------------
Now playing: The Killers - Human
via FoxyTunes

domingo, noviembre 16, 2008

Regalo de Reyes?

Bueno después de años... poco me hace falta para que me motiven para publicar algo. Con que sólo sea una pequeña iniciativa de proseguir yo me pongo manos a la obra.

Con la proximidad de las Navidades y de todo lo que a ello acontece es hora de ir pensando en posibles gadgets para adquirir en este periodo. El NIA es sin duda un buen candidato, aunque todavía el tema este en pañales como comentan en algunas páginas. En una breve descripción se puede decir que NIA es un artilugio que te permite tener control mental de ordenes básicas del ordenador (ohhhh!!!) y su desarrollo se está enfocando para videojuegos. Ya molah que hagan avances en este campo por la infinitud de aplicaciones que se le podrán sacar.


En LifeInformatica ya lo venden (fue ahí donde lo vi por primera vez) y vale 139€ + iva. Bastante asequible pero su difícil configuración y la poca experiencia de usuario me dan que pensar.

----------------
Now playing: 08 - I'M FROM BARCELONA - Houdini
via FoxyTunes