Ante la duda, he tomado las medidas oportunas… ¿El posible malware?: JS/Agent.NDM Troyano

Valencia, 29/11/2011, G.B.
Hoy me he encontrado con un aviso del antivitus ESET NOD32 indicándome que uno de los archivos de WordPress estaba infectado por un troyano, en concreto el archivo query.js. La amenaza era la siguiente: JS/Agent.NDM Troyano y la ruta del archivo infectado wp-includes/js/jquery/js=?vers=1.4.2. Lógicamente he supuesto que era el archivo antes mencionado, el jquery.js, un archivo bastante importante, por cierto…

He buscado en forospyware (excelente web de recursos, por cierto) y no he encontrado nada determinante, aunque sí una solución general en caso de infección. Tengo que seguir investigando al respecto.

En cuanto a cómo afecta la falta del archivo jquery.js, comentaros que ahora mismo estoy escribiendo esto en modo HTML en vez del Visual, ya que se han desactivado bastantes características que te hacen la vida más fácil y cómoda a la hora de escribir un post. pero no quiero arriesgarme a que Knowhow caiga otra vez, como ya lo hice en su día. Lo que he tenido que hacer (mientras escribía este post) ha sido descargarme la última versión de jquery.js del sitio oficial (jquery.com) y subirla a su sitio, eliminado el antiguo archivo jquery.js (tras haber hecho las comprobaciones oportunas). ahora vuelve a funcionar todo como toca. Los permisos del nuevo archivo jquery.js son más restrictivos ahora y la versión es la 1.7.1. Voy a ver si con esto lo tengo todo solucionado. Esperaré unos días a ver cómo se comporta el blog. Reportaré.

Todavía no sé si la amenaza del tal JS/Agent.NDM Troyano es real o simplemente una ‘exageración’ del antivirus ESET NOD32. Eso sí, ante la duda, he tomado las medidas oportunas, un tanto drásticas lo sé, pero creo que acertadas, al menos hasta que descubra realmente si la amenaza es real o no y cómo afecta. YA TENGO ALGUNAS MALAS EXPERIENCIAS AL RESPECTO!

Informaré al respecto si logro averiguarlo.

Enlaces:
Descargar archivo jquery.js (sin comprimir, versión 1.7.1).
JQuery.com

Para Windows, claro…

Valencia, 19/02/2010, G.B.
Hoy ha habido un pequeño ‘festival’ en mi departamento: se ha encontrado en todos los ordenadores el troyano copyex.exe. En primera instancia parecía que la solución era sencilla: seguir las instrucciones del siguiente post del foro de INTECO.

Lo malo ha sido que tras ejecutar dichas instrucciones al pie de la letra, al iniciar el PC el problema persistía, es decir, al visualizar las tareas en ejecución de Windows XP SP3 (Service Pack 3 en este caso con antivirus actualizado, firewall activo y todas las actualizaciones automáticas al día, entre otras medidas de seguridad), seguía estando el proceso copyex en marcha.

En principio (sólo en principo), parece que lo único que hace es consumir recursos del sistema, pero como todo troyano, existe la muy plausible posibilidad de que abra ‘puertas’ a otros tipos de malware mucho más agresivos. ¿La solución? Ejecutar las instrucciones en cada uno de los usuarios activos del sistema. Paso a detallarlas:

- Desconectar el cable de Red o deshabilitar la conexión inalámbrica
- Iniciar el PC en modo Prueba de fallos (pulsando la tecla F8 mientras arrancas el sistema)-> Elije Modo seguro (sin funciones de red)
- En el icono Mi PC, botón derecho,  pestaña Restaurar sistema-> deshabilita la opción
- Elimina todos los archivos temporales de windows (c:/Windows/temp
- Ejecuta el comando  regedit -> botón Inicio -> escribe regedit
- Accederás al registro de Windows (hasta aquí son tareas comunes para eliminar cualquier troyano)
- Busca la clave copyex y elimina todas las entradas. Lo encontrarás en las zonas del registro de Windows HKEY LOCAL MACHINE y HKEY LOCAL USER
- En la carpeta system32 -> Recycled, elimina el programa copyex.exe
- Descárgate cualquiera de las utilidades que te proporciona la página de INTECO y ejecútalas(*). Puedes hacerlo antes de eliminar las claves del malware en el registro de Windows, pero es mucho mejor hacerlo después de haber realizado los passo anteriores
- Por seguridad, vuelve a visualizar las tareas de Windows: teclas control + Alt + suprimir. No debe aparecerte ya el proceso copyex
- Reinicia el PC y comprueba si la tarea copyex persiste. Si has seguido todos los pasos, no debiera visualizarse
- Repite esta operación en cada uno de los usuarios que tengas activos en tu sistema
- Consejo: navega con sensatez y no descargues cualquier cosa que te encuentres. Con sentido común te ahorrarás muchos problemas. En el último párrafo, justo antes de los enlaces, te doy otra solución, aunque este consejo se aplicaría igualmente…

Recuerda que para seguir estos pasos debes tener permiso de administrador y visualizar todos los archivos ocultos y de sistema.

¿Para que no te vuelva a suceder esto? Ten mucho cuidado con lo que te descargas de Internet; asegúrate de que los pendrives que insertas en tu PC estén límpios de malware; mantén actualizado en todo momento tu sistema con las actualizaciones de seguridad pertinentes; ten un firewall o cortafuegos activo; utiliza un antivirus que se actualice diáriamente… ¿Otra opción? Utiliza otro sistema operativo…

Enlaces:
- Sobre los troyanos
- Red Alerta Antivirus
- Avast Antivirus Personal Edition (antivirus gratuíto)
- Windows Update
- El registro de Windows
- Blog sobre troyano

(*) Programas para eliminar el troyano (Fuente: Foros INTECO)
Descarga e instala Malwarebytes-AntiMalware: http://www.malwarebytes.org/mbam.php
Descarga e instala Ccleaner: http://www.ccleaner.com/download/downloading
Descarga, si fuera necesario, KillBox: http://www.downloads.subratam.org/KillBox.exe
Descarga Flash Disinfector, utilidad para evitar o limpiar infecciones a través de pendrives : http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Un nuevo antivirus ligero, seguro y sencillo, según afirma la compañía.

El nuevo Panda Cloud Antivirus

Valencia, 03/05/2009, G.B.
La companía de seguridad informática Panda Software acaba de lanzar un nuevo antivirus basado en tecnología Thin-Client, el cual es capaz de procesar y bloquear malware de forma más eficaz que los tradicionales antivirus y con un consumo de procesamiento del PC mucho menor, según constata Panda.

El nuevo antivirus traslada todo el proceso de análisis e identificación del malware a la denominada ‘nube‘ , aplicando técnicas de interceptación no intrusivas. El análisis y bloqueo de malware se realiza en el servidor de forma eficiente y transparente para el usuario, por lo que apenas se consume recursos del PC. “Es el primer y único antivirus ligero (Thin-Client) basado en la nube con un 50% menos de impacto en el rendimiento del PC que la media de la industria“… , afirma la empresa.

La página web de Panda Cloud Antivirus está disponible en inglés, alemán  y español, desde donde se puede descargar la versión beta del nuevo antivirus: http://www.cloudantivirus.com/default.aspx?lang=spa