La curiosidad mató al gato
Todo el texto que hay tras estos dos párrafos están copiados íntegramente del blog de faqoff, una web con unos tutoriales magníficos, aprovechando su licencia Creative Commons (en español), así que todo el mérito es de su autor. Iba a escribir sobre el tema, algo mucho más básico, pero aprovecho el trabajo altruista de otros que, como yo, no creen en los derechos de autor en beneficio de la comunidad.
El caso es que hace varios días, cada vez que llego de trabajar, me encontraba un mensaje de mi sobrina con el siguiente texto:
Hola
espero q te gusten las fotos ;
me las hice ayer y
No podía decirle nada porque ya estaba desconectada y no podía aceptar el fichero que trataba de enviarme. Hoy he ido a casa de mi hermano porque no les va bien el ordenador, a restaurarle una copia de seguridad y, echando un vistazo me encuentro con el problema que veréis ahora. Espero que todos aquellos que tenéis costumbre de pinchar a todo lo que os llega o tenéis hijos adolescentes, que sí tienen esa costumbre, puesto que se pasan las horan enviándos chorraditas por el messenger, empecéis a pensar que "la curiosidad mató al gato".
No he tenido tiempo de postearlo antes pero aquellos usuarios que uséis Windows Live Messenger para chatear estad alerta con esta historia. Un nuevo virus se propaga a través de este sistema de tal forma que uno de tus contactos te abre conversación y te suelta algo como lo que sigue:
hola
espero que te gusten las fotos
me las hice ayer
Y luego te envía un archivo llamado fotos_posse.zip, el cuál contiene a su vez un archivo llamado yo_posse_007.jpg. Aunque la extensión .jpg se corresponde a imágenes, en realidad el archivo es un ejecutable. Si tienes habilitada la opción de mostrar extensiones de archivo en Windows lo verás como yo_posse_007.jpg.exe (y si no la tienes deberías habilitarla). Si lo ejecutas el virus se propagará a su vez a través de tu MSN a tus contactos y así sucesivamente.
Para eliminarlo y desinfectar tu ordenador hay un par de excelentes guías en internet, la mayoría giran entorno al manual publicado por Relok. Personalmente me gusta cómo cuentan todo el proceso en Grapitix. Para aportar algo más, me he infectado a propósito con el virus (curiosamente no ha sido fácil) para hacer capturas de pantalla del proceso de borrado que espero que ayuden a los que se tengan que pegar con el virus.
Lo primero decir que el antivirus gratuito que recomendamos habitualmente en la web, AVG, detecta el virus sin problemas (supongo que cualquier antivirus actualizado lo haga):
El principal problema que plantea el virus es que bloquea el administrador de tareas de Windows al que normalmente accedemos pulsando en el teclado las teclas Ctrl + Alt + Supr.
Allí aparecen las cosas que en cada momento están funcionando en nuestro ordenador. Si tenemos al virus funcionando sólo tenemos que acceder a ese administrador, seleccionar los procesos que se corresponden con el virus y luego hacer click en terminar el proceso.
Entonces ¿cómo accedemos al administrador de tareas si el virus lo bloquea? Pues descargando este programa:
Descomprímelo y haz doble click sobre el archivo:
Selecciona Enable Task Manager y haz click en Apply:
Ahora ya deberías poder acceder al administrador de tareas tal como indicamos más arriba (Ctrl + ALt + Supr). En la pestaña de procesos los que debes localizar son o yo_posse_007.jpg.exe, o SP2.EXE, o Proyecto 1. Haz click sobre ellos y pulsa en terminar proceso:
(click para ampliar)
Ahora el virus deja de funcionar y podemos intentar borrarlo del ordenador. Para ello primero hacemos click en el botón de inicio y luego en buscar. Allí buscamos todos los archivos y carpetas que tengan el nombre de los tres procesos mencionados y de fotos_posse.zip:
Buscamos los archivos un por uno y los vamos borrando:
(click para ampliar)
Una vez que ya tenemos los archivos relacionados con el virus fuera del ordenador, sólo queda eliminar el rastro que han dejado en el registro de Windows. Este registro le dice a Windows cosas que tiene que hacer y el virus lo ha manipulado así que vamos a dejarlo como estaba.
Para esto hacemos click en Inicio/Ejecutar y escribimos regedit:
Una vez dentro del registro vamos al menú superior a Edición/buscar y hacemos lo mismo que hemos hecho para buscar los archivos en Windows, es decir escribimos yo_posse_007.jpg lo buscamos lo borramos y luego hacemos lo mismo para los otros tres nombres.
Cuando te localice alguno de los nombres (no tienen por qué estar todos) haz click con el botón derecho de tu ratón sobre la línea del registro en el que se encuentran y clik en Eliminar:
(click para ampliar)
Con esto deberías haber dicho adios al virus. Aún así, insisto en la importancia de tener un buen antivirus y pasarlo en modo a prueba de fallos.
