Hace unos días me habló un amigo para decirme que su máquina se comportaba extrañamente. Me decía que cada vez que hace una búsqueda en su navegador de Internet y le daba click a algún resultado, terminaba en alguna página que no tiene que ver con el enlace al que quería ir. Le comenté que quizás tenía un virus, pero que se me hacía muy raro. Le prometí revisar el problema.
El caso es que me puse investigar y hallé que hay una especie de virus llamado TDSS, el cual se comporta de esta manera, sin importar -parece ser- si se usa Chrome, Firefox, Internet Explorer u otro navegador. Aparentemente los antivirus no lo detectan por la manera en que se esconde. Por suerte, ya ha sido identificado y hay manera de quitarlo.
El virus se descubrió el 18 de septiembre del 2008, de acuerdo con Symantec y se le conoce con estos nombres: Backdoor:W32/TDSS [F-Secure], BKDR_TDSS [Trend], Win32/Alureon [Microsoft], Trojan-Dropper.Win32.TDSS [Kaspersky], Packed.Win32.TDSS [Kaspersky]. Es un troyano que afecta a: Windows 2000, Windows NT, Windows Server 2003, Windows Vista y Windows XP.
El TDSS es un troyano que usa un avanzado rootkit para esconderse a sí mismo, en donde su labor es redireccionar los resultados que arrojan las búsquedas de los navegadores de Internet amén de abrir una puerta trasera en la máquina infectada. A todo esto, a este troyano también se le conoce como Alureon, TDSS and TDL, TDL-3 o TDL-4.
La infección se da en general cuando el usuario entra a una página web donde hay un video “impresionante, que nadie debe perderse” o bien, en archivos torents y descargas vía P2P. También puede ocurrir la infección por archivos bajados de sitios legítimos pero no es lo más frecuente. Muchas veces se instalan cuando el usuario se le pide instalar un programa para descargar archivos torrents o en muchas páginas de Warez.
La idea de este troyano es que el usuario visite sitios web para así generar tráfico. Muchos sitios viven de la publicidad que tienen en ellos. De esta manera se garantiza que el internauta vaya a sitios en donde al menos, los visita una vez (aunque esto puede repetirse muchas veces). Dice Symantec, pero realmente no les creo, que el troyano se diseñó para que la víctima compre software inútil, pero que si esto no funciona, el propio programa podría empezar a descargar programas aún más maliciosos.
¿Cómo quitarlo? Investigué en la web y hallé cientos de soluciones, pero ninguna parecía servir. En ellas me pedían que revisara el registro de Windows (un archivo que contiene a detalle qué está instalado en la máquina). Otros decían que revisara el archivo “hosts” y había incluso la sugerencia de correr msconfig. El caso es que no hallé, cuando hice todo esto, en la máquina infectada. Eventualmente supe que Symantec había escrito una herramienta para detectar y quitar este malicioso programa. Éste puede descargarse de este sitio. Vale la pena revisar el sitio de Symantec en este particular asunto.
Sin embargo, antes de este programa, que el propio Symantec indica que puede tardar hasta 8 horas en ejecutarse y remover por completo el virus, hallé uno llamado ComboFix, el cual lo corrí y en unos 15 a 20 minutos resolvió el problema. A quien le interese este software, puede descargarlo de aquí (En las instrucciones dice renombrarlo como Combo-Fix.exe, pero no sé las razones de esto), pero ojo, no me hago responsable si no funciona, si traba la computadora en donde se corre o la deja inservible. A mí me funcionó pero ya sabemos que como cada cabeza, cada sistema es un mundo. Tome sus precauciones. Respalde sus archivos importantes y entonces use el software si está harto de que el navegador lo redireccione a puros sitios absurdos.
Referencias: