Basta decir que no descarguen nada con "FINALWIRE" en su titulo y "Team Z.W.T.". Me destruyo Windows 7 x64 y Windows XP Pro en dual boot.
Apenas habilite XP Pro para escribir esto y mañana a pasado edito esta nota con los detalles porque me estoy cayendo de sueño.
Saludos y Cuidado! Están sobre aviso.
Edición #1: Antecedentes de Protección)
Como pienso que es un gran problema tener que formatear y reinstalar todo de nuevo, tengo este tipo de salvaguardas en mi equipo:
-Dual Boot a Windows7 x64 en un partición (c:) y Windows XP Pro en otro partición (d:). Dependiendo de que SO (sistema operativo) esta en uso, la letra de la partición principal cambia siempre siendo el C:. El disco duro es de 1 terabyte.
--Datos (fotos, videos, programas, etc.) en otra partición y Respaldos (Mis Documentos y perfiles) en otra partición.
--Avira Antivir Personal o Avast!Free como anti-virus. Ambos son gratuitos y bien vistos en cuanto a protección.
--Super Anti-Spyware Y Malwarebytes para lo demás, ambos gratuitos y de buena reputación.
--Pared de fuego Windows 7 Firewall Control de Sphinx Software (gratis). Trabajan en conjunto con la pared de fuego de Windows pero los refuerza en vez de substituirlo.
--Escaneo automático de archivos al bajar cualquier cosa del internet en los que se puede y manual en los demás, sea por uTorrent o por el estilo y Firefox o Chrome.
--La experiencia de navegar por internet e instalar cosas por mas de 2 décadas.
--Soy Modder. Jeje, nada que ver con esto.
Este virus/malware es del tipo "sleeper" o sea que no se asoma por 2-4 días. Esto esquivaría la salvaguarda de usar un ambiente protegido dentro del SO como lo seria Sandboxie, Geswal o Force Field para bajar y abrir el archivo para ver su reacción. Usualmente, después de abrir el archivo sin problemas, se sale uno del ambiente e instala el app como "seguro"en el SO. En Windows 7 paso esto pero en Win XP se manifestó como unos pop-ups constantes en MS Internet Explorer que ni siquiera esta activado ni es el navegador de preferencia (Firefox o Chrome).
Sucesos en Win7:
--Avira daba señas de archivos infectados. Mande todo a cuarentena pero seguían cada 3-5 min. o sea se replicaba, probablemente instalando algún servicio que mantenía vivo la actividad.
--Me apago Super Antispyware.
--Empezaron cosas raras como que el driver de video fue anulado en favor al genérico de Windows. Las ventanas se arrastraban lento, dejando "sombras". Lo chistoso es que daba resolución de 640 X 480 y que estaba en 8 bits cuando claramente estaba en 1280 X 1024 y 32 bits. Al cambiarlo a como debían de ser, corrumpia la pantalla y tenia que re-bootear en frio.
--Modo seguro no terminaba de abrir y queda inutilizado para correr desde ahi algo.
--Al correr Malwarebytes, elimino como 15 archivos y los mando a cuarentena. Al pedir "re-iniciar el sistema":
--Corría el análisis de arranque que entraba en un loop infinito. Nunca pude llegar hasta el SO.
--No funcionaba en F8 la "ultima configuración buena" o por consiguiente los puntos de restauración.
--Cambia las letras de los discos. El C: ahora daba como X:.
--No funcionaban los usbs portátiles o no los leía.
--El disco de instalación del SO (dvd) solo entraba a soluciones de reparación que eran similares al esfuerzo de reparación del SO sin el disco. Lo que si se descubrió es que el archivo "ci.dll" estaba dañado porque en detalles sin el disco solo lo reportaba como "daño en la raíz"(??).
Boot critical file c:\ci.dll is corrupt
Repair action: File repair
Result: Failed. Error code=0X2
Time taken: 3635ms
.
.
.
Repair action: System file integrity check and repair
Result: Failed. Error code=0X490
Time taken:706,466 ms
.
.
.
Boot critical file c:\ci.dll is corrupt
.
.
.
O sea, su daño mayor se compone de la corrupción del archivo ci.dll que es de 780,224 kb--un archivo hasta eso medio grande. Checando con la compu de mi esposa, aparecen varios reportes en foros sobre la corrupción de este archivo. La solución es reemplazar el archivo con uno sano. Recomiendan hacer un disco o equivalente booteable y sobre-escribir el nuevo archivo para resolver este problema. Como no lo logre, quizá evitado por el malware, la siguiente era hacer un intento con Ubuntu e intentar lo mismo. Como no soy geek sino usuario, desistí y tome la decisión de re-instalar mis SOs, empezando como siempre con XP, por supuesto con una formateada normal (no rápida) para asegurarme que no quede rastro del malhechor. Ya iba para 3 días con esto y creo si no lo he resuelto a estas alturas, mejor empiezo a reinstalar para no perder mas tiempo y esfuerzo. Aun reemplazando el archivo ci.dll creo hubiera estado aun afectado con los demás daños y seria un SO inestable o con muchas molestias.
Efectos en WinXP:
Como mencione, supongo que por no tener la robustez de Win7, los efectos se manifestaron casi de inmediato, lo mas molesto siendo pop-ups que tenia que matar con el task manager sino abrían mas ventanas al cerrar las iteraciones. Al correr Malwarebytes que también elimino a una veintena de archivos, rebooteaba al tratar de entrar en SO al reiniciar. Con esto, concluyo la destrucción de ambas SO y la reinstalacion.
Mi amigo técnico Gino dice que no le han traído aun sistemas infectados así que no me pudo asesorar al respecto, asi que a hacerle a la antiguita. Lo que si me aconsejo es darle un tiro con ComboFix de BleepingComputers. la proxima vez antes de formatear. Pero eso era si podía entrar al SO y era un proceso complicado que requiere guía de uno de los moderadores de BleepingComputers y manejar listas gigantescas como las de HiJackthis....too late para eso.
Suerte y Saludos
Fin ahora si.
