Tarjetas postales electrónicas en Messenger – Troyano

Chateando con una amiga en el Live Messenger durante la conversación parecío que me escribió

Mira la tarjeta que te hice http://bubbatarjetas.xxxxxxxxxx.xxxxxxxxxx

Como el link es genérico (sin parámetros o variables que indicaran que la supuesta tarjeta fue personalizada) me hizo pensarlo dos veces. Al hacer clic sobre la liga me apareció el ya conocido diálogo que no es de Adobe Flash donde tengo que actualizar la versión.

Obviamente te pide descargar un archivo sin firma digital y de nombre «Flash-Installer-Windows.exe»

El antivirus ni se inmutó, así que debe ser una variante que posteriormente aparecerá en las actualizaciones.

Mucho cuidado con lo que reciben aunque sea de parte de personas conocidas.

Abur

Actualización 7 de Julio 09

Prové en una PC Virtual a ver qué sucedía si ejecutaba el susodicho instalador. Las dos pruebas fueron así:

Primera prueba -> Sin Antivirus

– Prácticamente todos los ejecutables en la PCV fueron inoculados con el virus (Virus.Win32.Virut.ce) un verdadero dolor de cabeza.
– Los archivos que se salvaron fueron aquellos en uso: explorer.exe, msnmsgr.exe, pero al momento de reiniciar fueron infectados de inmediato.
– El Live Messenger tronó por todos lados, extraño porque por ahí es por donde llega. Tal vez la instalación del Messenger Plus! logró que no se iniciara.

Al ejecutar NOD32 Business Edition, éste detectó los archivos infectados, pero al ser tantos, simplemente se atoró el equipo y dejó de funcionar. Hubo que presionar el botón de encendido por unos segundos para apagarlo.

Segunda prueba -> Antivirus NOD32 Business Edition 2009 ACTIVADO

– Al momento de ejecutarse el instalador, NOD32 detectó 3 archivos de inmediato pero entró en un ciclo que provocó que el equipo colapsara. Cada archivo infectado era detectado, pero fueron tantos al mismo tiempo que no hubo oportunidad para salvar el equipo 😦

– Al reiniciar el equipo trataba de enviar el diálogo de NOD32 de infección de archivos, pero después de 30 minutos en el mismo estado, hubo que apagarlo.

–  Mismo efecto al reiniciar en «Modo Seguro»

Cómo deshacerse de él? Este caso puede ser único ya que no infectó completamente el equipo, detallaré las condiciones usando Kaspersky Internet Security 2009 ACTIVADO

– Arrancó el instalador y KIS detectó los mismos 3 archivos que NOD32 (el maldito log tronó y no supe cuáles fueron)

– El equipo empezó a colapsar por lo que use el Administrador de tareas para tirar el proceso Flash-Installer-Windows.exe ycon el KIS bloqueé eltráfico de red ya que empezó a descargar Trojan.Downloader.

– Cerré el equipo y arranqué en «Modo Seguro» ejecutando KIS y un análisis completo del equipo. En menos de 10 segundos que duró el incidente, había más de 300 archivos incluyendo varios de sistema infectados con el virus (Virus.Win32.Virut.ce)

–  Después de unas 4 reiniciadas y 4 re escaneos, el equipo parece recuperado. Otra cosa que se puede hacer es el sacar el disco duro y conectarlo por USB a otro equipo y pasarle un scan completo. El adaptador se puede obtener comprando un disco externo 5.25″ y desarmándolo. No tiene gran ciencia ya que el conector de datos y el de energía son idénticos al de una PC. Aplica lo mismo para notebook.

– Cabe mencionar que Live Messenger no quedó del todo bien ya que produce errores o se cierra cada cierto tiempo. KIS sigue de repente encontrando rastros del virus en ejecutables incluso dentro  de archivos comprimidos (ZIP y RAR)

Saludos