Pixelianos

Esta semana pasada he sufrido la visita de un huesped inesperado. Llegó sin avisar, como suele ser habitual en los de su especie, y se instaló cómodamente en un rinconcito de mi disco duro. Una vez se sintió a gusto, consideró que ya era hora de presentar sus credenciales y el siguiente reinicio fue el momento elegido para ello.

Si me hubiese consultado antes de ejecutar alevosamente el archivo firefox.exe le habría mandado a freir puñetas, pero no me dio esa oportunidad. No lo hubiera descubierto nunca si no tuviese la costumbre de limpiar periódicamente el disco duro usando el CCleaner.

Dejando de lado la prosa, lo cierto es que me ha tocado la moral mucho y bien. Mas aun cuando apenas he encontrado nada acerca del “modus operandi” del protagonista de este, llamémoslo así, ataque a traición. Pero vayamos por partes, como dijo Jack “el destripador”.

El pasado domingo por la noche, después de darme un garbeo por la red, cerré el navegador y me dispuse a apagar el equipo. Como ya he dicho, periódicamente ejecuto el CCleaner para eliminar claves de registro obsoletas, cookies, historial de navegación, etc. Todo transcurría como siempre hasta que el programa me alertó de que debía cerrar el Firefox si quería que se borrasen los archivos de la caché. Comprobado que la ventana del navegador ya no estaba presente, abrí el administrador de tareas y comprobé que el proceso firefox.exe seguía allí. Enseguida me di cuenta que no podía tratarse del navegador, puesto que ocupaba tan solo 4 megas de RAM, así que sin duda era de otra naturaleza.

El problema sobrevino cuando el muy condenado no se dejaba cerrar. Una y otra vez se abría de nuevo tras cada intento de eliminarlo.

Podía tratarse entonces de:

• Un virus; cosa bastante improbable pues tengo el antivirus activo y actualizado.

• Algún tipo de Spyware, Malware, Hijacker, etc, que pululan por la red.

La primera opción la descarté al realizar un escaneo exhaustivo de todos los discos duros. Respecto a la segunda, descargué un par de herramientas gratuitas desde www.infospyware.com y los resultados arrojaron un buen puñado de intrusos. Sin embargo, ninguno de ellos resultó ser el responsable.

Al buscar información referente al proceso firefox.exe, encontré algunas referencias similares a mi caso, en las que este proceso permanecía residente y ocupando entre 3 y 4 megas de RAM.

Una era el ataque de un troyano, pero la entrada de esa web databa del 2006, por lo que al tener el antivirus actualizado descartaba esa opción.

Otra de las posibles razones que se aducían era que algún complemento no se había instalado correctamente, y recomendaban actualizar el programa. Ni se os ocurra. Si lo hacéis, os pedirá que cerréis el navegador para poder actualizarlo, y al no poder cargaros el proceso firefox.exe, se producirá un bucle que os obligará a reiniciar el equipo y a despediros del navegador de Mozilla.

Eso fue lo que me pasó a mi, hecho que me obligó a usar de nuevo un desfasado Internet Explorer 6 que tenía instalado.

Sin embargo, gracias a este reinicio forzoso descubrí al indeseable intruso.

Justo antes de que se cargase el escritorio de Windows, una pequeña ventana emergente apareció durante aproximadamente un segundo en la esquina superior izquierda de la pantalla haciendo referencia a una ruta de carga. Nunca antes había apreciado algo similar en la carga de Windows.

Reinicié de nuevo y observé atentamente esa zona de la pantalla para ver si era capaz de apreciar su contenido.

Bingo.

Allí apareció de nuevo, presentando ante mi el siguiente texto:

Cargando configuración de escritorio personalizada:

C:\Windows\sytem32\cslss.exe

Cazado. Localizada a ruta ya solo quedaba comprobarlo. En Windows, existe un controlador de Windows llamado csrss.exe presente en la misma carpeta (system32), pero no uno llamado cslss.exe

Buscando a este personajillo por la red lo que he encontrado indica que se trata de un virus tipo gusano de relativa peligrosidad llamado Rbot.BFQ.

El problema estaba ahora en cómo eliminarlo, puesto que el antivirus no lo había detectado y el borrado manual era imposible al estar el archivo en cuestión ejecutándose y, por tanto, protegido por el propio Windows (qué ironía).

La pista me la dio otra entrada en la que el afectado había observado que el proceso firefox.exe se ejecutaba conjuntamente con el proceso Explorer.exe

Si eso era cierto, bastaría con cerrarlo para poder cargarse el dichoso firefox.exe y posiblemente también borrar el cslss.exe. Pues dicho y hecho. Con el Explorer.exe inactivo ya se podía eliminar todo rastro del intruso.

Para resumir, el proceso a seguir (al menos el elegido por mi) fue el siguiente:

• Abrir el administrador de tareas (Control+Alt+Suprimir)

• Cerrar el proceso Explorer.exe

• Cerrar el proceso firefox.exe

• En el administrador de tareas, ir a la pestaña “Archivo -> Nueva tarea -> Examinar

• Buscar la ruta c:\windows\system32\cslss.exe

• Click con el botón derecho sobre el archivo y seleccionar “Eliminar”

Ahora me parece de lo mas sencillo, pero llegar hasta ahí ha costado lo suyo.

Con esto queda suprimida la carga del proceso firefox.exe al inicio y evitamos que se cargue el virus.

Tan solo resta pasarle al sistema un programa similar al CCleaner o al Registry Cleaner para eliminar las claves de registro incrustadas por el virus y los archivos relacionados con el cslss.exe.

Hecho esto ya no nos molestará más

Creo que necesito unas vacaciones, jejeje.