Hace algunos días instalamos Windows XP en la PC de una de las oficinas del trabajo, que anteriormente tenía Windows 98. Todo parecía estar bien hasta que a los pocos días, tres para ser sinceros, algunos problemas comenzaron a aparecer con cada arranque del nuevo Sistema Operativo. Pantallas de registro de programas instalados que se bloqueaban, y el hecho de que ninguno de los programas Anti-Virus que la PC tenía instalados corriera normalmente, hizo pensar en varias posibilidades, entre ellas la posibilidad de tener al ordenador con algún virus.
Como no corrían los AV instalados, la reacción lógica fue hacer un scanneo en línea, y el elegido fue Panda Antivirus. El scanneo fue relativamente rápido ya que contamos con Banda Ancha, y los resultados fueron concretos: teníamos dos virus en la PC (el Mabutu y otro). Los nombres en realidad no importan (2), lo interesante fueron las peripecias que tuvimos que hacer para eliminarlos.
El scanneo nos dio como resultado algunos archivos eliminados y uno renombrado, el "wtwain.dll". Al arrancar, Windows seguía llamando a este "wtwain.dll" que ahora no estaba; editamos el "win.ini" para que esa aplicación no fuera llamada al iniciar, pero nada.
Decidí buscar algún parche o fixer para corregir los daños que, aparentemente había hecho el virus; encontré un fixer para el segundo virus (no el Mabutu) en el sitio de Symantec (1) pero no encontré nada para el Mabutu allí. Hice correr el ejecutable como lo indicaba el instructivo, pero no encontró rastros del virus. ¿Qué pasaba?. Tratamos de encontrar el problema en el S.O. pero los esfuerzos fueron inútiles. Busqué entonces datos del Mabutu en el sitio de Panda Software (en español) y encontré lo que buscaba.
Ese famoso archivo wtwain.dll no era otra cosa más que una copia del virus Mabutu, hecha por sí mismo. El virus era básicamente un "backdoor" bastante peligroso, que abría puertos y sacaba datos a su antojo. Al conectarnos a Internet comenzaba a actuar, es por eso que se activaba con el mismo arranque de Windows, para garantizar su exito. Es esa la razón de dos pantallas extrañas que se abrían y se cerraban solas apenas conectados a la web, que pensamos eran propias de Windows XP.
Editamos el Registro como lo indicaba el tutorial de Panda, y por alguna razón que desconozco, tuvimos que desinstalar el AV que teníamos (quizás no hubiera sido necesario) e instalar una versión más reciente, la actualizamos via "Live Update" y así quedamos nuevamente protegidos. Milagrosamente el otro AV instalado comenzó a funcionar normalmente. Todo el trabajo, desde su detección hasta su total eliminación, requirió dos días.
En la medida que los virus informáticos anulen a nuestros programas anti-virus, usen nuestra conexión a Internet a su antojo, y los datos de los virus sean difíciles de obtener para el usuario medio, así como también la forma de eliminarlo, los virus continuarán en su lento avance a nuestros hogares... perdón, a nuestras PCs...
(1) Symantec es la empresa dueña del programa anti-virus más conocido, el Norton Anti-Virus.
(2) En realidad importan, pero no los recuerdo ahora.
No hay comentarios.:
Publicar un comentario