El día de ayer un amigo mío (de confianza) me solicitó que le pasara unos archivos que necesitaba. Dichos archivos los tenía en un disco duro externo que conecto vía USB. La historia es algo típica y normal: llegó, tomamos el disco duro externo y lo conectamos a su laptop, copió lo que necesitaba, desmontó el disco, me lo entregó y se retiró. Lo comenzó la "aventura" fue cuando conecté el disco a mi equipo.

Primero que nada cabe mencionar que el disco duro externo lo "personalicé" cambiando su icono con el que se ve en el Explorador de Windows así como todas las carpetas que contiene. Lo que comenzó la travesía fue cuando abrí el Explorador de Windows y el disco duro no se mostró con el icono personalizado sino con el predeterminado de Windows… mmm… algo huele mal. Le di doble clic y vi sus contenidos y como siempre tengo que me muestre las carpetas y archivos ocultos y de sistema me encontré que tenía un archivo llamado Nideiect.com. Lo borré y seguí con mis actividades presumiendo que algo malo había pasado.

A los pocos minutos me apreció una ventana de Symantec Antivirus (el antivirus que usamos por política de la empresa) y me avisó que en la carpeta temporal de mi usuario había un archivo con extensión .sys infectado de un "virus" llamado Hacktool.Rootkit. No lo pudo eliminar y se quedó bloqueada la ventana. Entré al sitio de Symantec y vi la información que ellos publican diciendo que es un virus con nivel de riesgo muy bajo (¿un rootkit con nivel de riesgo muy bajo? en fin). Las recomendaciones para eliminar la amenaza no me sirvieron de mucho porque no expecificaba los archivos con el problema.

Total, afortunadamente tengo instalado Ubuntu Linux además de Windows XP en mi equipo por lo que procedí a iniciar sesión con Linux, acceder a mis particiones NTFS y borrar todo de todas las carpetas temporales así como borrar todo lo que estaba en raíz de todas las unidades que tenía que no debía de estar en dicho lugar. Reinicié con Windows casi augurando una victoria feliz.

¡Oh, sorpresa! Los archivos Nideiect.com volvieron a aparecer y además el Symantec Antivirus volvió a decirme que algo en la carpeta temporal estaba mal. WTF!? Revisé el Registro de Windows (la sección donde corre automáticamente programas al iniciar sesión) y encontré un executable que no debería de estar en dicho lugar (amvo.exe). Lo busqué y me encontré (aquí, aquí y aquí) además del executable varias DLLs con el nombre parecido (amvo0.dll, amvo1.dll). Los intenté eliminar y no todos se borraron. Curiosamente el ejecutable si pero no una de las DLL. ¿Qué proceso estaría usando dicha DLL? Usé Process Explorer de SysInternals y encontré que más de un proceso (¡y todos del SO!) estaban usando dicha DLL. Ni cómo eliminar los procesos y luego la DLL sin hacer inestable el SO.

Comencé ahora a buscar en Internet (por tercera vez) pero ahora no por el nombre que me reportaba Symantec sino por el nombre de los archivos y encontré más o menos de que se trataba y cuales eran los nombre y ubicaciones posibles donde existiría. Entré nuevamente con Linux y borré lo que encontré. Al iniciar con Windows ya todo estaba aparentemente bien. Por cierto, me di cuenta que lo que hace además de copiarse a los discos y memorias USB los configura con un archivo autorun.inf para que abra el archivo en cuando uno seleccione la unidad. Vaya forma de contagiarse.

Obviamente le avisé a mi amigo y él comenzó su búsqueda para eliminar la amenaza, pero se topó también con que no era fácil de quitarlas. Él no tenía Linux instalado y decidió entrar en modo a prueba de fallos (en consola, no con todo el UI de Windows) y con eso ya entró y borró lo que se tenía que borrar. Claro, ya le había dicho donde estaban los archivos con el problema.

El día de hoy llegué y quise revisar si no había problemas adicionales y no veía los archivos ocultos ni los de sistema. WTF!? (de nuevo). Revisé desde la consola (Símbolo de Sistema) si volvieron a aparecer los archivos del problema y no estaban. Entré en la configuración del Explorador de Windows y no pude cambiar los valores. Siempre que los guardaba y volvía a entrar estaban igual. ¡Argh!

Total, buscando de nuevo con Google encontré que para otro virus que genera estragos parecidos a este efecto de que el Explorador de Windows no hacía lo que yo le decía existía una utilería que una persona hizo para eliminarlo y restablecer los valores de Windows. Lo descargué y obviamente no encontró (afortunadamente) el virus para el que fue diseñado, pero me dejó entrar a la opción de restablecer los valores de Windows y ya regresé a la normalidad.

 

En resumen, si bien con Linux resolví el problema con Windows también hubiera podido, pero el tenerlo a la mano me ayudó bastante. Lo que si es que hay que tener mucho cuidado ya hasta con los dispositivos USB que uno conecta. No esta de más revisar y monitorear cada detalle que uno ve extraño y consultar por todos lados ya que, en ocasiones, los fabricantes no te dan la solución sino miembros de comunidades o usuarios que se han topado con estos problemas.