Los virus del tipo “Saludos de Medellín” y “Hola Medellín“, pese a la sencillez de su código y poca efectividad, puede convertirse para los atacantes en un arma de gran valor de ingeniería social para analizar el tipo de seguridad y las políticas implementadas en las organizaciones infectadas por este código malicioso. Gracias a la divulgación de los medios masivos de comunicación, se pone al descubierto el nivel de seguridad que se maneja en estas instituciones, en el caso, la Fiscalia de Bucaramanga, cuyos equipos deben almacenar información critica, representada en procesos judiciales, documentos de inteligencia e investigaciones de tipo judicial.

En un aparte del articulo en caracol dice “Un virus conocido como ‘Saludos de Medellín’ y ‘Hola Medellín’, causó trastornos en los computadores de la Policía, la Fiscalía, las diferentes alcaldías, la Gobernación, Ecopetrol, hospitales, bancos y muchas empresas privadas y salas de Internet. El director del Cuerpo Técnico de Investigación de la Fiscalia en Santander, Oscar Castellanos, afirmó que es incalculable la cantidad de computadores que fueron afectados por este virus, incluidos los de la Fiscalía.
Agregó que los daños también fueron reportados en universidades y establecimientos educativos.“, Un análisis básico del virus puede verse en este vinculo de La Comunidad DragonJAR.

Vaya!! Realmente el show no lo hizo el virus, el show acompañado con luces de neon y papayera, lo hicieron los encargados de la seguridad de los sitios afectados. Y no es para más, hicimos la prueba de ejecución del código bajo una cuenta limitada en Windows XP SP3, y una listica de “acceso denegado” nos mostraba como quedaba impotente el virus frente a una de las más básicas y sencillas reglas de seguridad.

Otro aspecto importante a tener en cuenta, es la ejecución de código malicioso portado en las memorias USB, parece ser que los funcionarios de los organismos afectados, desconocen este sencillo, pero efectivo medio de infección, al igual que las sencillas pero potentes herramientas de desinfección gratuitas que se “deben” instalar en los equipos de computo para el análisis en tiempo real de estos dispositivos portables.

Un ejemplo es el Antivirus MX One y su componente Guardián que permanece residente a la espera que se ingrese al equipo un dispositivo de almacenamiento masivo, para escanearlo y en caso de encontrar algún código malicioso eliminarlo automáticamente, puedes descargar el Antivirus para Memorias USB MX One Aquí.

SpyBot Search & Destroy, es un completo y potente antispyware gratuito que nos protege de muchísimo software malicioso, su componente TeaTimer impide que programas sin autorización editen el registro de windows, uno de los principales métodos de autoinicio para los virus y el utilizado por el “Virus Medellín“, también permite bloquear cantidad de ActiveX del internet explorer (si todavía usas ese navegador), eliminar de forma segura archivos delicados entre otras cosas (activar función avanzada), lo puedes descargar de su pagina oficial .

Estas medidas, acompañadas de buenas practicas de seguridad, como es el permanecer actualizado el sistema operativo, un AntiVirus Actualizado, Software AntiSpyware, Firewall activado, entre otras medidas mas fuertes como el de tener unas políticas de seguridad que se ajusten a las buenas practicas de la línea de negocios, nos pueden ofrecer un ambiente mas seguro que nos permitan almacenar con responsabilidad la información critica y de valor de negocios que procesemos en nuestros equipos de computo.

Les dejo las conclusiones, y la sugerencia a los organismos infectados que mejoren su seguridad, esta intrusión puede abrir el camino a mentes curiosas e inquietas, (en el mejor de los casos).

También puede interesarte...

• Análisis del “Virus Medellín”
• Antivirus gratis para Mac OS X y GNU Linux
• GRATIS Licencia de Panda Cloud Antivirus PRO
• SSDownloader – Gestor de descargas para Herramientas de Seguridad
• TOP 10, Mejores AntiVirus Gratuitos del 2010
• Listado de Anti Virus “en la Nube”
• Discos Booteables Kaspersky
• Avira Premium Security Suite Gratis

El supuesto “virus Medellín” fué la noticia del día, o por lo menos yo me enteré apenas hoy de ella. En diferentes medios se habló de la destrucción masiva de este “todo poderoso” virus de la super muerte.

Los titulares de los medios

Virus “Medellín” atacó computadores Locales

El ‘Virus Medellín’ causa estragos en los computadores de Santander

Virus Medellín ataca PC

Incluso en el foro de la Comunidad alcancé a leer algunas entradas relacionadas con este tema:

Alerta virus en medellín

Pero debo ser sincero. Lo primero que llegó a mi mente al leer esta noticia fue:

“No falta el que recibió un mensaje del tipo reenviaselo a 500 mil amigos en menos de 5 segundos” y lo publicó en alguna web.

Es que ahora, lastimosamente nos hemos acostumbrado a recibir el típico correo electrónico de A0L, Nort0n, o similares, sobre el peligrosísimo virus recién descubierto y publicado en la CNN, donde el virus te habla y te dice que perderás todos tus datos destruyendo el sector zero del disco duro, además de que puede transmitirse a tu nevera descongelando el pollo y pudriendo los tomátes. (No quiero imaginarme el efecto en una lavadora).

Ahora en serio

En las horas de la noche recibimos un mail del Ingeniero de Sistemas y Computación, Miguel Antonio Casallas Tarazona, quién gentilmente nos solicitó la publicación sobre este tema, además nos ofrecía un solución para mitigar el impacto que estaba causando dicho virus en los equipos de las personas del departamento de Santander.

Le respondí al Ingeniero que me gustaría tener una copia de dicho “virus”, para efectos de llevar a cabo, un análisis más detallado, además ofrecer una solución en formato de video para la desinfección del mismo.

Gracias a que Google es nuestro amigo, pude encontrar una copia de este “famoso” virus en alguna página web que ahora no recuerdo, acto seguido decidí comunicarme con DragoN para que hicieramos un remedo de análisis sobre el poceso de infección y desinfección del “virus Medellín”.

“Análisis”

Con comillas, por que no estabamos en plan de hacer algo profundamente técnico, sino que buscamos observar de manera práctica el modo de operación de este virus.

Ahora, cada uno con una copia del ejecutable y bajo entornos controlados decidimos dar inicio a la observación.

Nombre del ejecutable: Wind.exe (de ahora en adelante será referido como Selena Spice)

¿Selena Spice?, hombre!! la mismisima Selena Spice aparece como icono de dicho ejecutable contenedor del “virus”. Ahora y como primera conclusión:

¿Qué hacen la Fiscalía, Alcaldías, Gobernación, Ecopetrol, Hospitales, Bancos, Empresas Privadas abriendo archivos adjuntos de Selena Spice? (paréntesis, quiénes no conozcan a Selena Spice -En la cama con Selena-)

Simple, cualquiera en sano juicio abrirá un adjunto de Selena Spice (Hasta yo lo abriría XD), solo hay que mirarla 2 segundos para quedar enamorado de por vida XD.

De nuevo en serio

Es común utilizar nombres sugestivos para transmitir malware por medio de correo electrónico, y algunos por más entidades reconocidas que sean, siguen y posiblemente seguirán cayendo.

Continuamos entonces con la observación de Selena, para ello utilizamos un sistema virtualizado con Windows XP SP2. Luego de la ejecución de Selena procedimos a verificar nuevas entradas en el registro, allí pudimos observar que Selena le ordenó al PC que se ejecutará en cada inicio (a mí, no tendría que ordenarmelo, yo lo haría por cuenta propia), igualmente el proceso Wind.exe (mejor conocido como Selena) estaba ejecutandose, además había creado una copia del mismo en la carpeta Windows/System32, decidimos observar un poco las propiedades de dicho proceso, para ello nada mejor que Process Explorer, allí encontramos muchas sopresas. La más destacada fue encontrarnos con Ramiro (quién de ahora en adelante será referido como “Ramirijillo”, por eso de que le gusta llamar a los virus, “virusillos”, o como diría Ned Flander, “perfectirijillo”).

En los demás recuadros se observan los prodigios de la programación de ramirijillo para copiar el “virusillo” a otros dispositivos de almacenamiento de datos (incluídos USB), obviamente con su respectivo autorun para facilitar su reproducción. Luego elimina algunos archivos esenciales para el correcto funcionamiento del Sistema Operativo de Spectra (como lo diría Chema Alonso en su Lado del Mal).

Más abajo de Selena podemos encontrarnos cosas más “guarras” XD, y es que los mensajes que nos deja ramirijillo demuestran la total depravación de esta persona. Es que de verdad hay que estar muy trastornado para escribir algo así.

Una vez visto todo lo que nos podía pasar volvímos a ejecutar para ver en acción a Selena.

…

Reiniciamos y nada… volvimos a ejecutar y nada…

Aquí llegamos a la segunda conclusión (o tercera si concluímos que ramirijillo es un pervertidirijillo):

¿Qué tienen la Fiscalía, Alcaldías, Gobernación, Ecopetrol, Hospitales, Bancos, Empresas Privadas, que nosotros no?, hombre, será que no usan máquinas virtuales, por que nosotros las estamos usando y no nos pasa nada .

El super virus parece no funcionar en entornos virtualizados.

Decepcionados

Decidimos entonces enviar una copia a virus total y al parecer varios motores lo detectan. Lo que confirma que el código es copiado de otro virus.

Un punto menos para Ramirijillo por copión, ya lleva -8.901 los otros puntos fueron por dejar la ruta del proyecto “\programas ramiro\CREACION\TOYANO\otros virusillos\busca memorias\devil.vbp“.

Aquí la cadena completa

Para no acabar la noche sin ver en acción a Selena, decidimos ejecutarla en mi PC de escritorio, sin hacer copias de seguridad de nada, esto con el fin de demostrar nuestra “estupides” y/o alcanzar a ver algún video o fotos de Selena, o por lo menos las aberraciones de Ramirijillo.

Aquí puse a grabar en video lo que iba sucediendo, sufriendo por los capítulos de Weeds que podrían perderse en caso de que Selena hiciera de las suyas, eso sumado a que iba a dejar a mi abuela sin la posibilidad de chatear por messenger con mi hermano.

Video 1 (Contiene: Resultados de la busqueda “Virus Medellín”, algunos comentarios graciosos en varias páginas, ejecución el archivo wind.exe, visualización del proceso)

Descargar Video

Pues en este caso tampoco sucedió nada a primera vista, decidí entonces reiniciar la máquina, eso si… temiendo lo peor XD.

Video 2 (Contiene: Reinicio después de ejecutar a Selena, visualización de un pequeño cambio en los iconos de los discos duros de mi máquina, ahora aparecen como carpetas, un autorun en cada disco duro y/o partición, una copia de Selena, visualización por medio de CCleaner de una nueva entrada en registro para la ejecución de Selena al inicio de Windows)

Descargar Video

Video 3 (Contiene: Otro intento de ejecución de Selena desde un disco duro portátil, cuando pensaba que ahora si iba a comenzar la acción con Selena, tan solo se limitó a preguntar si deseaba sobre-escribir un volúmen de disco, le dije que si… pero nada pasó)

Descargar Video

Video 4 (Contiene: Kill process de Selena , y eliminación manual de los archivos creados por la misma, limpieza del registro con CCleaner)

Descargar Video

La verdad hubiera querido poder mostrar todo el proceso de infección y desinfección del “virus”, pero como ven, nos fue imposible infectarnos a plena satisfacción. De nuevo nos preguntamos:

¿Qué tienen la Fiscalía, Alcaldías, Gobernación, Ecopetrol, Hospitales, Bancos, Empresas Privadas, que nosotros no?

La verdad no sabemos y esperamos que en los comentarios, alguién que de verdad sepa del tema, nos pueda ilustrar, ojo, no los graciosillos que relacionan el virus con política y esas cosas que salen fuera del objetivo de este post.

Video 5 (Contiene: Pues nada… solo unas capturas que muestran que el “virus” Selena, ha sido “eliminado”, con comillas por que no pudimos siquiera infectarnos)

Descargar Video

Para finalizar dos cosas, primero publicamos la solución ofrecida por el ingeniero Miguel Casallas, quién nos envió el siguiente texto

“Por asi alguno debe lidiar con el virus, adjunto una solucion que no
implica formateo.

Se inicia el equipo con el Cd de windows y se le da recuperar por
consola y se ejecuta lo siguiente:
fixmbr
bootcfg /rebuild
copy D:/i386/ntldr C:/
copy D:/i386/ntdetect.com C:/
Luego de arrancar windows, ingresar al regedit y se buscan todas las
entradas con wind.exe y se borran
Borrar las entradas en msconfig
Buscar en todo el disco los archivos wind* y chicas*
ctrl+alt+del y eliminar los procesos medellin.exe, chicas.exe y wind.exe
Se borran las carpetas c:/hola C:/medellin C:/estas etc……. si el
disco está particionado en la Unidad D:/ tambien se crean varias
carpetas e inclusive como ocultos se crean dos carpetas, autorun.inf y
wind.exe

Al reiniciar el equipo e ingresar por mi pc, las unidades c y d
aparecen como carpetas y no las deja abrir, se debe hacer por el
explorador normal….. no sé si esto sea consecuencia del virus”

Y segundo: ya nos imaginamos los titulares de la próxima semana:

RAMIRO, EL HACKER QUE ATACO LA FISCALÍA HA SIDO ATRAPADO
Gracias a las labores de inteligencia de la Fiscalía, el hacker Ramirijillo ha sido detenido en un barrio de Medellín… el jóven……

Y nuevamente se repetirá la historía de Hackers = Delincuentes informáticos… y pasará al olvido el post ¿Hackers en Colombia? de la semana pasada.

También puede interesarte...

• Cómo evitar ser Victimas de Virus tipo “Hola Medellín”
• Antivirus gratis para Mac OS X y GNU Linux
• GRATIS Licencia de Panda Cloud Antivirus PRO
• SSDownloader – Gestor de descargas para Herramientas de Seguridad
• TOP 10, Mejores AntiVirus Gratuitos del 2010
• Listado de Anti Virus “en la Nube”
• Discos Booteables Kaspersky
• Avira Premium Security Suite Gratis