A pesar de haberme enfrentado a varios problemas en los últimos meses, no había tenido la oportunidad de documentar nuevamente alguno aquí en el blog. Hoy, aprovechando un pequeño Adware al que me enfrenté, quiero exponerles la solución, ya que he empezado a ver comportamientos similares. Como es costumbre, la entrada estará dividida en tres partes: el problema, la causa y su solución.
El problema
Cuando el usuario intentaba abrir cualquier página en internet o simplemente, en los casos que abría la pagina, hacer clic en algún enlace, se ejecutaban diferentes pestañas con propaganda, la mayoría haciendo referencia a una herramienta de reparación de Windows:
Como podrán imaginarse, esta era una falsa herramienta. Este comportamiento era además bastante molesto, pues no se podía navegar con tranquilidad.
La causa
Este tipo de Adware solía instalarse como un complemento del navegador para funcionar; por este motivo, utilicé Autoruns para ver todas las extensiones que cargaban con Internet Explorer, pero no encontré nada que pudiese ayudarme.
Si la ejecución de este software malicioso no estaba asociada a un complemento, definitivamente lo tenía que estar con algo ejecutándose en el sistema operativo. Así pues, procedí a ejecutar la herramienta por excelencia, Process Explorer.
Aunque Process Explorer me iba a dar todo el detalle de cada proceso, no iba a ser tan sencillo, puesto que este tipo de aplicaciones maliciosas se disfrazan en procesos confiables. Decidí entonces utilizar la característica de VirusTotal, función útil para enviar el hash de todo lo que se está ejecutando a la base de datos que maneja VirusTotal.com, y esta devuelve un resultado para saber si la entrada en cuestión ha sido ya puesta en lista negra.
Para habilitar el análisis de VirusTotal, fui al menú Options, VirusTotal.com y por último clic en CheckVirusTotal.com.
Una vez se habilita el análisis de VirusTotal, Process Explorer crea una columna adicional, VirusTotal, que muestra una comparación entre reportes de malware contra la base de datos que tienen las principales firmas de seguridad. En mi caso, pude detectar inmediatamente dos procesos muy sospechosos, y que tenían una buena cantidad de reportes como maliciosos:
Gracias a Process Explorer es posible hacer doble clic sobre el proceso y ver las propiedades para obtener muchos más detalles; por ejemplo, la firma digital, ubicación de instalación, línea de comandos, entre muchos otros.
Como pueden ver, el proceso estaba relacionado al programa HQ Video Pro 3.1, que además tenía su propia firma digital a nombre de Digit Network (Exreme White Limited). Debido a que el Autostart Location me indicaba que el Programador de tareas estaba ejecutando el proceso en cada inicio, decidí correr nuevamente Autoruns y ver la pestaña de Sheduled Tasks, y esto es lo que me encontré:
No solo se ejecutaban dos procesos, sino ocho relacionados al mismo programa.
La solución
Como había comprobado que HQ Video Pro 3.1 era malicioso y no habían más procesos sospechosos en Process Explorer, el camino más directo era proceder a eliminar HQ Video Pro del sistema operativo; para esto, fui hasta el Panel de control, lo identifiqué y procedí a eliminarlo:
Después de un par de clics, el programa se desinstaló correctamente.
Naturalmente, había que revisar después de un reinicio si Process Explorer detectaba otra vez la ejecución de este proceso, que Autoruns no tuviese más entradas en el Programador de tareas sospechosas y que no hubiesen quedado archivos relacionados a esta aplicación en Archivos de programa. Para mi fortuna, todo eso estuvo muy bien y el problema desapareció.
Saludos.
—Checho