23.11.08

Otro Falso Positivo? = El mejor virus

La verdad es que debí imaginarlo. En el diseño teórico del virus perfecto siempre consideré la posibilidad de que éste pudiera camuflarse o hacerse pasar por un programa legítimo por un tiempo, hasta que finalmente, luego de recibir una orden predeterminada y específica, todo el daño del codigo maligno pudiera desplegarse. Pero se me escapó la "genial idea" de hacer que el soft encargado de protegernos nos indicara borrar soft legítimo e imprescindible, cosa que al hacerlo inutilizáramos el S.O. o alguna otra cosa.

Como en la película "The Happening" de M. Night Shyamalan donde "algo", no viene al caso qué, hace que las personas se autodestruyan (suiciden), ese podría ser un ataque perfecto. En el caso del (Falso Positivo) Trojan Horse PSW.Banker4.APSA, que afectó a tantos ordenadores hace unas semanas, nosotros mismos eramos o fuimos los agentes del daño al S.O., borrando el archivo user32.dll de su ubicación original.


Pero aquí no termina el asunto. Hoy, esta mañana, instalé y ejecuté el Malwarebytes Anti-Malware con la idea de eliminar alguno de los "bichos" que, por las dudas, el Ad-Aware y el SpyBot Search & Destroy, o el NOD32, o incluso el AVG pudieron no haber detectado. Me llevé una sorpresa al ver que dicho programa detectaba dos troyanos y algo más (como se ve en la captura). Pero ¿son realmente una amenaza como lo indica el soft? No lo creo.


¿Acaso el svchost.exe no es un archivo legítimo de Windows que se encarga de manejar los procesos o servicios? (leer (1) (2) (3)); o ¿el taskmgr.exe (Task Manager) (leer (4) (5))no es el conocido Administrador de Tareas de Windows?; o ¿el winlogon.exe (leer (6))no es otro archivo indispensable para el normal funcionamiento del S.O? Entonces ¿por qué el Malwarebytes los muestra como una amenaza? Quizás nos encontremos frente a una nueva "broma" del soft de protección, que nos da otro FALSO POSITIVO. Quizás nos encontremos frente a una nueva moda, donde el soft anti-virus nos muestre a archivos legítimos como malware, para que nosotros mismos los eliminemos y provoquemos el colapso del S.O.

15.11.08

Trojan Horse PSW.Banker4.APSA

El asunto es este: AVG 8.0 Free - un programa antivirus que posee una versión gratuita, por lo que está instalado en miles de ordenadores; el día 11 de noviembre de 2008 produjo/realizó un falso positivo. ¿Qué es un falso positivo? Bueno, sería como una falsa alarma, una detección positiva de la presencia de un virus (un troyano en este caso) que en realidad es falsa; un falso positivo que no es lo mismo que "negativo" pero es parecido (ver *).


El asunto es que mucha gente advertida de la presencia del (falso) troyano con cartelitos de este tipo (ver imagenes arriba) borró o eliminó de alguna manera el (supuesto) archivo infectado, el "user32.dll", ocasionando el "colapso" instantáneo de Windows XP. El Sistema Operativo empezó a reiniciarse una y otra vez en busca del archivo ahora ausente, que es vital para el arranque. Le ocurrió a muchísima gente, no hay que asustarse. Tampoco hay que preocuparse porque tiene "cura" y no se pierde nada de lo que uno tiene guardado en el disco duro.

La solución es más simple de lo que parece. Si todavía nuestro Windows XP inicia o arranca normalmente, por favor no eliminar la (supuesta) amenaza, eligiendo en todos los casos "IGNORE" como lo muestra la figura de arriba. Si nuestro S.O. ya ha colapsado, entonces debemos copiar (recuperar) los archivos dañados (el C:\WINDOWS\system32\USER.dll y el C:\WINDOWS\system32\dllcache\USER32.dll) o borrados, trayéndolos de una instalación de Windows sana y limpia, y pegarlos en su lugar, o reemplazar los que tenemos en nuestra instalación (ver capturas):


Quizás sea necesario (recomendado) poner como esclavo nuestro disco en otro ordenador para hacerlo más rapido y luego al volver todo a su lugar. Luego de restaurar esos archivos, ponemos el HD (disco duro) en su lugar e inmediatamente conectamos el ordenador "enfermo" a internet y actualizamos el antivirus AVG para que quede reparado (fixeado) y no vuelva a mostrarnos esas alertas falsas.

AVG, por su parte, envió un mail (arriba) en donde recomendaba usar un fix para reparar el daño hecho por ellos. Nunca encontré el fix en el sitio de AVG... Evidentemente AVG estaba con algunos problemitas ya que (miren abajo) la cantidad de mails (iguales) que me envió.





(*) Un falso positivo no es lo mismo que un negativo y mucho menos que un positivo. Veamos este ejemplo: blanco es blanco. No blanco es/son todos los otros colores. Contrario/opuesto de blanco es negro. Entonces positivo es positivo; negativo es negativo; pero falso positivo no es ni positivo ni negativo.

11.11.08

INFOBAE.COM me copia

Parece que la manera de redactar que tengo les gustó a los muchachos de Infobae.com. Miren sino (ver link):


Está bueno que "me citen" pero por lo menos usen mis palabras... quiero decir, que está bueno que usen mis palabras, pero por lo menos hagan una cita o un link a mi blog. De nada.-

9.11.08

AVG y el PSW.Banker4

Hace unos días que, en algunos ordenadores y sin aún saber por qué, el programa anti-virus AVG 8.0 free Edition viene detectando a un tal "Trojan Horse PSW.Banker4.APSA" que posiblemente sea, no un troyano como parece ser, sino (nada más ni nada menos) que una falsa alarma de AVG. Estoy tratando de recopilar toda la información posible, ya que he encontrado muchos casos en la red y en mi entorno (amigos, familiares), y luego veremos qué pasa.
Se dice que el Ad-Aware lo elinima, pero no es cierto; se dice que el SpyBot Search & Destroy lo elimina y también es mentira. Por ahora solo queda poner "Ignorar" cuando AVG lo detecta ya que si borramos o eliminamos los archivos "user32.dll" o el "user.exe" de la carpeta "system" o la "system32" la cosa se complica, al punto que Windows deja de funcionar.
Cuidado, precaución, y a no borrar o eliminar nada a menos que estemos muy seguros de lo que hacemos.

4.11.08

Microsoft sería un Hacker

Una polémica digna de cualquier novela argentina (estaba por decir mexicana - no sé por qué) se ha desatado en el sitio de RedUSERS por/con la noticia de que Microsoft habría modificado el codigo de Windows en ordenadores de China sin la autorización (previa) de los usuarios, con el digno pero inútil objetivo de terminar con la piratería... con la piratería de sus Sistemas Operativos, que es la única que le interesa.

Textual: "La acusación surgió tras el lanzamiento de la campaña “Global Anti-Piracy Day”, cuyo objetivo es identificar el mercado negro y los vendors legales que distribuyen las copias piratas de los sistemas Windows, y luego de la ejecución de una serie de acciones y programas educativos para detectar o evitar la difusión de software pirata en algunos países europeos.

Las denuncias fueron llevadas a cabo en China, país donde Microsoft instaló el programa Windows Genuine Advantage en aquellas PCs en las que previamente se había detectado que utilizaban una versión pirateada de su sistema operativo, dado que no pasaban el test de validación." (leer +)

Pero lo más interesante de toda la noticia - eterno problema para Microsoft el de la piratería - es la polémica generada por los lectores, algunos a favor y otros en contra de la medida de Microsoft (recomiendo leer las opiniones de los lectores). Me hace acordar del estúpido dilema ¿qué fue primero, el huevo o la gallina?; ¿quién es más ladrón Microsoft o los usuarios con copias ilegales? Jamás encontraremos una respuesta.

Nota: La imágen fue bajada de RedUSERS.