Bueno gente…. los que seguis esta publicacion ya sabeis que lo que plasmo aqui es un reflejo de lo que me pasa dia a dia en la Red de redes como usuario, llamemosle experto…. pero es por la gran cantidad de tiempo que me paso al dia «conectado». Como dice un dicho que me encanta: «Sabe mas el Diablo por Viejo, que por Diablo».
Ayer puse un articulo con el mismo nombre que este, pero si la parte 2, pues la parte dos, es esta 🙂 y ayer cuando lo escribi no crei que hubiera una parte dos… pero si, si que la hay por desgracia. Yo puse ayer ese articulo porque en alguna de mis muchas bajadas de software oscuro, pues se me pringo el sistema y es que uno es muy bravo y pasa de antivirus residentes y cosas asi. Se comen muchos recursos del sistema y yo soy de los que opinan que el mejor antivirus es uno mismo… es decir que con tener algo de cuidado, pues no hacen falta. Yo solo uso los antivrus despues de… pero nunca antes de… y ademas como tengo mucho cuidado, los virus normalitos no se me cuelan, solo se me cuelan los bestias, y mira por donde, ahora paso eso, un virus bestial se me ha colado en el sistema, y no encuentro la solucion por ninguna parte, asi que peor para el Virus, yo empiezo la investigacion y aqui posteo mis resultados, para que quede como Base de Datos del Conocimiento para generaciones venideras…. 🙂
Bueno, el nombre del Virus no se cual es -pues no parece detectarlo ningun antivirus, ni antimalware-, pero si se cuales son los resultados… y es bastante cabron.
Os dareis cuenta de que pasa algo raro, cuando arranqueis las Windows y veas que en la pantalla negra del principio dice INVALID BOOT.INI. Eso ya me mosqueo a mi, pero como uno ya es viejo y las Windows arrancaban bien…, penso, bah! ya me cargue algo por ahi dentro, a ver que dia me meto un rato y lo arreglo.
Lo primero decir que mas que un virus es un Malware de esos que te llenan la pantalla de publicidad por todos lados… y si, aunque jode, con un programa cierra ventas automaticas basado en un patron se solventa momentaneamente (por ejemplo Buzof). Pero el problema que tambien empezo, fue cuando empezo a meter publicidad sonora… y en una de esas que estaba yo limpiando el puto virus ese, me salio publicidad pornografica, y mira por donde tenia los cascos desconectados… ya sus podeis imaginar la situacion en mi casa cuando ocurrio, no?
Lo segundo es que te cambia el buscador por defecto de tu navegador. Normalmente todos tenemos puesto San Google como predeterminado, pues bien nos los cambian a la mierda de Microsoft, el Bing, que como por meritos propios no es nada, solo lo puede hacer a golpe de talonario… asi que como pagan 3?or busqueda referida que se hace en el, pues por eso lo ponen los autores del virus. Que son unos tal Zugo.com
Lo tercero, te cambia los enlaces de las busquedas que hagas en San Google, si como lo leeis, si haceis busquedas en Bing si que funcionan, pero si las haceis en San Google, pues parece que todo ha ido bien, pero cuando pulsas en los enlaces, te manda a paginas de publicidad servidas por otros timo chorizos de la red, los de Search8.com.
No quiero pensar mal… pero BING no ha dado cuenta de esto??? Es extra?si cuando haces un poco de cheat en los anuncios en cuatro dias se dan cuenta y te cierran la cuenta… y este virus, como explico mas abajo, parece que tiene casi un a?n el mercado…. no sera que Zugo.com esta compinchado con Bing??? Total, si todos ganan… para que solventarlo, no?
Pues como dije antes (o no lo dije? Es que este articulo lo estoy sufriendo para escribir, porque cada X rato la computadora me pega pantallazo Azul de Winbugs, asi que no lo recuerdo, pues he escrito lo mismo varias veces ya, asi que perdonad si hay incongruencias en el mismo) parece ser que todavia no hay una solucion al mismo, al menos que se pueda ver en los foros mas activos antivirus… es mas, en uno que vi alli, se ve que los ultimos que han sido eliminados un RESOLVED delante del titulo en el POST, este permanece como UNRESOLVED en el titulo, o es muy nuevo y todavia nadie se lo ha sabido cargar, o la verdad que es muy dificil… creo que ambas cosas son correctas.
Halas a LEER MAS >>> que sus pondre todo lo que yo he averiguado hasta el momento…. que espero sus sirva. Igualmente si vusotros sabeis algo mas que lo puesto por mi, pues dejarlo en los comentarios para ver si hacemos entre todos un buen remedio para quitar esta mierda de nuestras maquinas.
Angeloso
Pues vamos por partes, en los dos primeros supuestos, pues solo son explicativos, y no tenemos (ni podemos hacer mucho), excepto meter la direccion de Zugo.com como las direccioner prohibidas de vuestro firewall, o bien iros al fichero hosts de Windows y apuntar dicho dominio a 127.0.0.1, que aunque no solvente el problema al 100%, al menos lo mitiga bastante, pues ya no se puede conectar con el servidor pringador, y asi solo teneis que quitar la mierda que ya sus haya instalado y no la nueva que sus vaya instalando por minutos.
Por eso es que me salia la pantalla azul a cada rato, el programillo que instala empieza a conectarse a esa direccion y empieza a bajar mierdas y esconderlas como DLL en el directorio system32 de Windows. Cuando baja muchas, pues la maquina no puede mas y peta.
Lo primero que teneis que hacer es iros a vuestra configuracion de la tarjeta de Red y sus encontrareis que los DNS estan cambiados… el segundo DNS apunta al famoso DNS publico 4.2.2.1 hasta ahi, aunque raro este ahi si no lo hemos puesto nosotros, no es peligroso… pero el primer DNS esta apuntando a un servidor que esta hospedado en LeaseWeb.com en Alemania (83.149.115.157). Y halas, el puerto 53 del DNS abierto… a ver, a ver… hacemos un nslookup a esa IP y le decimos que nos resuelva Google.com …. uys, si no nos salen la IPs de Google, si no las de Zugo.com que curioso, no?
Yo ya les escribi a Abuse de LeaseWeb.com, a ver si con un poco de suerte me hacen caso, y lo cierran, asi pues les joderemos mas a los autores… aunque despues de la complejidad de este Virus, supongo que eso lo habran previsto y podran modificar la direccion puntero facilmente con alguno de los programillos que te bajan al System32.
Vales pues por ahi ya hemos resuelto el problema de la interceptacion de enlaces en las busquedas de Google. Solo lo cambiais a como viene por defecto en Windows, para que el DHCP haga el resto. Si lo teneis con un servidor propio DNS, pues lo apuntais a vuestro servidor de confianza DNS y listos.
Ahora vamos con los programillos que sus baja desde el dominio Zugo.com… Como dije antes, si baneais este dominio y searchclick8.com en vuestra solucion de Firewall o directamente en el fichero hosts de Windows, pues ya no bajaria los programillos… pero yo para llegar a esta conclusion sude sangre… asi que sus explico lo que hice, por si sus pringais despues de leer este articulo o por si ya estais pringaos y no sabeis el porque.
El virus parece ser que salio de una distribucion pirata del programa YouCam de Cyberlink (que hace unos dias anunciamos en «la isla»). Yo lo instale y mira, no paso nada hasta pasados unos dias que lo empece a usar. No quiero acusar a Cyberlink de que haya hecho tan deleznable acto, seguramente habran sido los cabrones que lo crackearon y lo pusieron la red…. pero nunca se sabe.
Este programa tiene un complemento llamado YCMMIRAGE.EXE que se carga al iniciar Windows y este abre un programa residente que tiene un nombre raro de esos de Windows (mogollon de numeros en bloques de 5 caracteres) y ese programa es el que parece baja toda la mierda de Zugo.com. Esto lo se, porque como vi esa cosa rara en el task manager, rapidamente la mate y mira, el disco duro se quedo basntate tranquilito y las conexiones con Zugo.com desaparecieron en ese momento.
Entre todos los programitas que baja el malware este (con nombres estupidos en formato 8.3 -ocho letras de nombre + tres de extension- al estilo jitabine.dll , jecejude.dll , maguweno.dll ), baja tambien uno llamado Google Desktop, y claro vas tu y lo instalas sin miedo, porque es de San Google, o al menos eso parece…. como lo averigue? Pues mira, por donde el programa que anuncie el otro dia de Software.Informer, me detecto que tenia la version 5.x de Google Desktop, cuando la version oficial de GD era menor que la instalada…. asi que me parecio extra? me puse a mirar. Abro el programa en modo HexaDecimal, y lo primero que veo donde se encuentra el nombre del fabricante, es ZUGO.COM, arrgghhh….!!!!! esta aqui. Aunque la verdad, luego me di cuenta que no hacia falta abrir un editor Hexadecimal para ver esto, pues en la propia firma de programa cuando miras desde el panel de control en la opcion «A?r o quitar programas» se ve. O son tontos o igual resulta que Zugo.com no tienen nada que ver en este embrollo, porque la verdad tanta programacion avanzada para el Virus y cometen un fallo como ese… pues como que no cuadra. Pero…. creo que Google no firma sus programas con nombres de spammers y timadores, no?
Ok, pues halas fuera Google Desktop…. ya me bajare yo una version confiable directamente desde Google mas tarde.
Pues eso que sigo mirando y me encuentro con otro programa en la misma carpeta y con la misma fecha de modificacion, pero este es un .exe, este se llama mapenelo.exe … pues voy me pongo encima del mismo, le doy al boton derecho y le digo examinar con AD-aware, y los pitos se oyeron hasta en Eh!pa?Asi que lo intento borrar y me dice que naranjas…. estaba bloqueado.
Pues voy reboto la maquina y arranco con el Hiren's Boot CD, abro el Volvok File Manager en formato NTFS Writable, y asi lo consigo borrar.
Reboto la maquina en Winbugs -nunca mejor dicho en este ejemplo- y halas, me siguen saliendo las ventanas de publicidad esas asquerosas, pero ya no tenian contenidos, pues tenia los dos dominios en cuestion bloqueados en el fichero hosts. Asi que algo acerte pero la mierda seguia saliendo, y los anuncios que ya habian bajado antes, como estaban en la cache del navegador, seguian saliendo, y SONANDO.
Pues accedi a un programa antiguo que tenia instalado y que no usaba mucho, el StartUP Organizer y miro a ver que programasa y cargados en memoria y cuando cargaron (muy buena opcion que tiene por alli), y halas…. veo que el jitabine.dll estaba cargado en memoria. No se de donde lo saco, pues en todo el HDD ya no estaba (igual estaba por alguna cache)… asi que lo borre y le dije al SO que lo bloqueara a futuro.
Pues parece que con esa opcion los virus han desaparecido de mi maquina, pues estoy harto de buscar y buscar… y no encuentro nada.
Alguna sugerencia???
Angeloso
P.d.: Ah! Pero habeis leido todo este rollo???