Infectado con el System Tool, y como lo solucioné

En casa del herrero… ya lo dice el refrán. El caso es que hoy he sufrido el ataque de un malware bastante pernicioso, se hace llamar System Tool. La infección ha sido de la manera mas absurda (no podía ser de otra forma). Mientras navegaba me ha salido un mensaje de que estaba intentando entrar a una web en la que había un software peligroso que me iba a infectar. La pantalla era practicamente igual a la del antivirus que tengo instalado, y le he dado a eliminar software malicioso.

Ese ha sido mi primer (y único) error. Inmediatamente me he acordado de eso que he aconsejado tantísimas veces de no hacer caso de ese tipo de avisos, pero…. era tarde. La pantalla que me ha salido ha confirmado mi sospecha:

system tool

Eso ya no me ha gustado nada. Lo primero que he hecho ha sido desconectar los discos duros externos, mientras pasaba ese falso escaner. Cuando ha acabado de «escanear», es cuando ha empezado la fiesta. No funcionaba nada, se han cerrado las aplicaciones, y hasta el fondo de pantalla era otro:

system tool

Continuamente aparecía un mensaje diciendo que debía actualizar el programa System Tool, por un módico precio, que me eliminaría todo el malware que tenía. En realidad, el único malware era el propio System Tool.

Con otro ordenador me he puesto a investigar, y he leído todo ésto, que confirmaba mis peores temores:

System Tool es otra aplicación de seguridad falsa

También he encontrado soluciones mas o menos complicadas para eliminarla

Y entre todas ellas, una que aconsejaba usar Malwarebytes. Antes de meterme con Regedit, y cosas por el estilo, he decidido probar con éste último

Lo he descargado, pero no podía instalarlo. Así que he reiniciado el ordenador en modo seguro, y lo he instalado y actualizado.

Lo he ejecutado, y después de casi hora y media de escaneo, me ha detectado unos 12 ficheros infectados que aparentemente ha eliminado. Mientras estaba en el proceso de desinfección, he revisado con otro ordenador los discos duros externos, y me ha salido que tienen algún troyano, pero he podido restaurar una copia de seguridad en otro ordenador «sano». Ahora revisaré ese disco duro con el programa Malwarebytes, a ver si quedan restos.

Parece que todo está funcionando correctamente (de hecho éste post lo escribo desde el ordenador que ha sufrido el ataque), así que toco madera, y sigo con precaución…

Mucho cuidado con estos avisos falsos. Cualquiera podemos picar…

Infección masiva de páginas web

INTECO alerta que en los últimos días se han detectado ataques masivos contra sitios web con el objetivo de manipular su funcionalidad y contenido. Una vez comprometidas, las paginas Web manipuladas redirigirán a sus visitantes a sitios web maliciosos expresamente diseñados para descargar e instalar todo tipo de códigos maliciosos en el ordenador que podrán permitir al atacante su control.

INTECO alertó en anteriores ocasiones la existencia de este tipo de ataques para comprometer los sitios web. Se trata de ataques de tipo inyección SQL, aprovechando una errónea programación del código de las páginas en servidores WEB.

Estos ataques masivos, que en esta ocasión particular aprovechan una vulnerabilidad provocada por una errónea programación del código ASP (Active Server Pages) en servidores IIS (Internet Information Server), están apoyados en herramientas automáticas con las que logran infectar gran número de sitios web en poco tiempo. El número total de páginas comprometidas a día de hoy ronda los 1’5 millones, aunque muchas de ellas ya han sido o están siendo corregidas.

Recomendamos a todos los webmasters que tengan sus páginas ASP alojadas en servidores IIS comprobar, lo antes posible, si sus páginas web han podido verse afectadas. Un síntoma claro de la infección puede ser la existencia de código javascript externo desconocido y que apunte a alguno de los dominios indicados en el siguiente listado:

PDF-Listado de los posibles dominios maliciosos-

De cara a los usuarios de Internet, para evitar infecciones, INTECO aconseja seguir las recomendaciones básicas que siempre debemos adoptar para prevenir incidentes de seguridad:

  • Utilizar software de seguridad como antivirus, cortafuegos, antiespias, etc.
  • Tener actualizadas todas las aplicaciones de nuestro sistema, sobre todo sistema operativo y navegador, con los últimos parches de seguridad.
  • Utilizar por defecto cuentas limitadas de usuario -no de administrador- con lo que limitaremos en gran medida los efectos de una posible infección.

Usuarios con conocimientos técnicos más avanzados pueden optar por deshabilitar el javascript en el navegador de manera temporal o instalar alguna extensión, como NoScript, que permita tener un control más exhaustivo sobre la ejecución de secuencias de comandos.

Inteco está colaborando con los ISPs, Agentes Registradores del «.es» y otras entidades para minimizar el impacto y alcance del incidente.

Actualizado: Microsoft confirma que es una vulnerabilidad que se aprovecha de una mala programación de código ASP, no es una vulnerabilidad propia del IIS. Los usuarios de IIS no tienen por qué verse afectados por la misma si bien deberán comprobar que no se les ha realizado una inyección de código malicioso en su sitio web.

Esto si que es un virus informático

ict10virus.gif

Más de 100 personas contraen gastrointeritis por usar el mismo ordenador

Los usuarios se contagiaron tras usar el mismo equipo y llevarse las manos a la boca.

Al menos 103 personas se han visto infectadas por un brote de gastroenteritis surgido en una escuela de Washington. Al parecer el contagio se ha producido por usar un ordenador que había utilizado, previamente, un alumno con las manos sucias.

La noticia completa aqui 

A ver quien saca un antivirus para combatirlo, y en este caso además el virus infectó independientemente del sistema operativo del ordenador.