36 rootkits salidos de la nada

Non-English Boards Espanol
1

¡Hola a todos! Este es mi primer post en los foros de avast, así que espero que me disculpéis en lo tocante a las normas de uso y de más, por si incumplo alguna :wink:
Hoy, 11 de julio, me decidí a hacer un análisis completo de mi ordenador, tanto con avast como con Malwarebytes, como acostumbro a hacer cada dos semanas más o menos. Prácticamente todos son negativos, pero hoy me he llevado una desagradable sorpresa. De la nada han surgido 36 “Rootkit: hidden file” que avast ha catalogado como amenazas graves… y claro, me he quedado a cuadros.
Tengo conocimientos en seguridad informática, nada extraordinario, pero soy el amigo al que todos le piden que arregle su ordenador xd
El caso es que, tras semejante resultado y la aparente incapacidad de avast para solucionarlo (“Acción pospuesta hasta el próximo inicio de sesión”), me he lanzado a hacer un análisis desde el arranque. Tras dos largas horas analizando los discos duros y los programas en el arranque, ni rastro de ninguna infección; a pesar de que aparentemente no se había resuelto el problema.
No sé si mis conocimientos serán los más extensos, pero desde luego mi concienciación y preocupación con respecto a la seguridad informática deben ser envidiables, ya que a dicho análisis le han seguido: otros 2 análisis completos de avast y Malwarebytes, 2 análisis de Panda Cloud Scan y 2 análisis de Malwarebytes Anti-rootkit y del anti-rootkit de Kaspersky (cuyo nombre no recuerdo).
Todos esos análisis posteriores han sido negativos, para mi alivio pero también inquietud: ¿de dónde han salido esos rootkits? ¿cómo han aparecido tan rápido como se han ido?
Tras indagar un poco en estos foros he descubierto que la tasa de falsos positivos de avast no es una novedad, y que puede que otro suceso haya jugado un papel fundamental en semejante resultado inicial: Windows Update. Según he leído, el análisis periódico de avast contra rootkits se ejecuta cada 8 minutos, y hay reportes en el foro de gente a la que, mientras Windows Update instalaba actualizaciones, le saltaba dicho análisis al entender avast que se habían modificado archivos del sistema (lógico, por otra parte).
Tengo constancia que mientras realizaba el primer análisis, el de la discordia, Windows Update estaba descargando (y sospecho que instalando) actualizaciones. La gran pregunta es: ¿es posible que haya sido una actualización de Windows la que haya desencadenado semejante tasa de falsos positivos? ¿o tengo que formatear el ordenador porque es prácticamente un zombie?
Muchas gracias por las respuestas, y perdón por la historia :slight_smile:

2

Hola hrpegenaute. Bienvenido al foro.

Se te han pasado algunos puntos importantes como:

¿ Que Windows usas; Spk, bit ?
¿ Cual avast! y version del programa ?
¿ Que otros programas de seguridad activos tienes ?

y sobre todo el nombre, ubicacion de esos archivos detectados y el nombre dado por avast!. Puedes anexar una imagen del resultado del analisis. ver imagenes

¿ Que hicistes con las detecciones ? ¿ las pusistes en el Baul de virus o las eliminastes ? Nunca, nunca elimines. Siempre es mejor llevarlas a cuarentena mientras averiguas si son reales o F/P para poder restaurarlas.

avast! hace un barrido en busca de rootkits a los 8 minutos de iniciar. Si no te detecta nada en esos primeros minutos lo mas seguro es que estes limpio. Ahora bien tu dices que estabas haciendo el analisis en el momento que Windows estaba haciedo la actualizacion del martes de Microsoft. Una de esas actualizaciones es Microsoft Windows Malicious Software Remova que contiene firmas encriptadas de malwares y puede que sea esto lo que avast! detecto.

Tambien pregunto si haz hecho algunos cambios a los atributos de los analisis, eso tambien pudiera darte falsos/positivos.

Si haz analizado con esos antirootkits y todo esta limpio, y no encuentras comportamiento raro en tu sistema ni programas extras o conexiones salientes desconocidas lo mas seguro estas bien.

3

Vale, disculpas por dejarme tantas cosas :wink:
Uso Windows 7 Home Premium (Original), Service Pack 1.
Avast Free y con la versión anterior a 2014.9.0.2021 en el momento del análisis (recuerdo que se actualizó después del mismo).
No uso ningún otro programa de seguridad (Windows Defender está desactivado y no tengo más antivirus; uso Malwarebytes Anti-malware pero en su versión gratuita, sin protección en tiempo real).

Intenté eliminar los resultados, siempre lo había hecho porque nunca me ha dado seguridad el “baúl” o la “cuarentena”; al menos ahora sé que no debo hacerlo :slight_smile:

Creo que he modificado varios parámetros del análisis completo, pero los que creo que son importantes y que creo que he cambiado son: la sensibilidad de la herústica (alta), la emulación de código (activada) y la búsqueda de PPD (activada).

https://www.dropbox.com/s/rjsrygrsolbma2u/1.PNG
https://www.dropbox.com/s/j6zjwhzn5kodcn1/2.PNG
https://www.dropbox.com/s/rz4ztrgcdtu7127/3.PNG
https://www.dropbox.com/s/7llnfcroci8m9cw/4.PNG

4

Definitivamente no son del Malicious Software Removal Tool de Microsoft, pero al mismo tiempo son archivos que parecen importantes para el buen funcionamiento de tu sistema. Tambien hay varios archivos que son caracteristicos de Microsoft updates ( los que tienen el serial con numeros y letras ). Ahora la pregunta es ¿ si esos archivos fueron reemplazados e instalados aunque fueron mandados al baul ?

Primero yo iria a Windows update y me aseguraria que todos los updates estan bien instalados.

Segundo los analizaria de nuevo desde el Baul de virus:http://www.avast.com/es-ww/faq.php?article=AVKB21#artTitle Si avast! los sigue detectando, hay algo raro en ellos. Si avast! ya no los detecta podrian restaurarse, pero ahi esta mi duda. Si todo va bien en tu sistema, que pasaria al restaurar esos archivos. ¿ Reemplaza los que ya tienes o se ejecutarian nuevamente ? Mi experticia no llega hasta ahi y no estando yo frente al ordenador para ver que pasa no me atrevo a decirte que hacer.

Tercero, y si sabes ingles, abriria un nuevo topico en Viruses and worms para que le echaran una mirada al sistema y asegurarnos que estas limpio y tambien te dijeran que hacer con esos archivos. 1) ¿ los dejas ahi ? o 2) ¿ los restauras ? Tienes que leer esta guia. http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); , Malwarebytes’( MBAM ), Farbar Recovery Scan Tool, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui: http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

Puede que Populous o Miguelgrado tambien opinen y te digan que hacer, pero yo iria con lo que me dijeran en la seccion de viruses y worms.

5

He comprobado el registro de Windows Update y todas las actualizaciones se instalaron correctamente.
En segundo lugar, aunque avast no los “eliminó”, tampoco los puso en cuarentena, así que el baúl está vacío. De todas maneras, he hecho varios análisis desde ayer, y todos han salido limpios.
Y por último, aunque sé inglés, no conozco tanto tecnicismo como para redactar un post en el foro general, así que probaré en InfoSpyware solo para asegurarme.

Muchísimas gracias por tu tiempo y las respuestas! :smiley:

6

Perfecto que no esten en el baul. Eso quiere decir que solo fue detecciones cuando se estaban instalando las actualizaciones. Si haciendo otro analisis completo, avast! no detecta mas esos archivos yo creo que no necesitas contactar InfoSpyware.

Para el foro de Viruses and Worms no necesitas redactar mucho. Solo decir: Avast! detected some rootkits during Microsoft Updates - anexas las mismas imagenes y anexas los reportes delos 3 primeros programas en la lista que te di. De todas formas yo estaria ahi para guiarte.