viernes, 2 de marzo de 2007

Virus Informáticos III


El eclipse, peculiar evento astronómico en el que dos cuerpo celestes se colocan de tal forma que uno se interpone ante el otro y la estrella que ilumina a ambos. De esta forma uno permanece por unos instantes en completa o parcial oscuridad.

No exentos de misterio y misticismo, en tiempos remotos siempre se dió una simbología a los eclipses: anuncios de catastrofes, enfado de dioses, malos augurios.... En la actualidad, se aprovecha la extraordinaria situación para la observación de fenómenos que habitualmente son más difíciles de experimentar, como medir las tormentas y radiaciones del Sol eclipsado cuando sólo observamos sus destellos alrededor del contorno de la Luna.
Como si de secretos del Universo a punto de ser desvelados se tratara, esos mágicos instantes atraen nuestra ciega curiosidad. ¿Cuál si no sería el motivo de la temeridad de muchos incautos que quemaron sus retinas intentando ver un eclipse solar sin protección?

=============

Hay muchas situaciones en la vida en la que se produce una paradoja parecida. En el momento que algo negativo u oscuro se interpone entre nosotros y la realidad, nos damos cuenta de pequeños detalles que antes pasabamos por alto, o no les dábamos importancia. Y son precísamente esos detalles los que encierran la esencia de lo precioso.

Merece la pena estar atento sin perder las retinas en el intento.

=============

Eclipse ha sido el VIRUS INFORMATICO que infectó esta mañana nuestros ordenadores servidores. Un susto sin más consecuencias que 30 minutos de paro en la actividad de nuestra delegación. Técnicamente denominado BKDR_VANBOT.BV por el antivirus TRENDMICRO, los datos más significativos de esta aventura han sido:


  • Hora de infección: 2:24 AM del 02/03/07.
  • Procedencia: Desconocida, a través de la red WAN (en ese momento no había actividad en la LAN)
  • Síntomas: Servicios WINS y DHCP de los nodos del cluster controlador de dominio, detenidos e imposibles de arrancar.
  • Pistas:

    • Dos claves en el registro HKEY_LOCAL_MACHINE/SOFWARE/MICROSOFT/WINDOWS/CURRENT_VERSION/RUN sospechosas
    • Entrada en el sistema a través de un gusano de nombre U.EXE descargado en C:\
    • Instalación de puerta trasera, de nombre ECLIPSE.EXE dentro de C:\WINNT\SYSTEM32

  • Motivo de infección:

    • Servidores WINDOWS 2000 SP4, no actualizados a último parche de Windows Update.
    • Fichero de firmas del antivirus no actualizado (desfase de 6 horas de retraso respecto al fichero que sí reconocía el virus) .
    • Red WAN conectada a sistemas no controlados por nosotros. Necesidad de Firewall más avanzado.

  • Solución:

    • Detener la tarea en ejecución, con la utilidad PROCESS EXPLORER de Sysinternals ya que con el administrador de tareas no lo permite puesto que el virus está activo.
    • Opcionalmente, instalación del SPYBOT SEARCH & DESTROY activando el módulo de TEATIMER para bloquear la modificación del registro mientras limpiábamos.
    • Borrar o renombrar los ejecutables C:\ U.EXE y C:\WINNT\SYSTEM32\ ECLIPSE.EXE (no deja borrarlos si no habeis detenido la tarea, pero al reiniciar ya no los encontrará si los renombrais).
    • Actualizar de inmediato el fichero de firmas del antivirus.
    • Eliminar las claves de registro indicadas. (Abrir REGEDIT.EXE, y abrir las ramas de carpetas hasta la mencionada anteriormente).
    • Reiniciar el sistema.
    • Último análisis con el antivirus a todo el sistema para limpiar restos.
    • Aplicar parches de Microsoft para evitar la vulnerabilidad que aprovecha. En este caso específicamente son: LSASS y RPC DCOM.

No hay comentarios:

Related Posts Plugin for WordPress, Blogger...