La última movida

diciembre 13, 2007


Vacaciones. 12 Julio 2007. 12:30. Playa de Cádiz. No recibo nada en mi Blackberry. Ningún aviso de mis scripts de control del sistema? imposible. Algo falla.

18:30. Oficina. Compruebo acceso a internet desde central de VPN. No hay acceso. Abro incidencia en mi proveedor, COMUNITEL. En 30 minutos llama un técnico. Me avisa de saturación en el router, CISCO 1721: existen 5000+ peticiones de salidas a internet. Denegaciones de servicio, DoS, provenientes del virus, troyano o lo que sea.

Drástica solución: desconexión inmediata del sistema. 5 servidores IBM, xSeries 230, 330, 345, 346, 342. Comunicaciones VPN, VoIP. Firewall’s, etc. Todo apagado en menos de 5 minutos. Eran las 19:15. Notifico caída del sistema, y dejo fuera de servicio pedidos a central, comunicaciones VoIP, un largo etcétera.

Levanto el controlador del dominio. Chequeo presencia de virus. Worm.SDF.Bot. La herramienta notifica limpieza pero no es así. Ni siquiera notificó el virus de forma correcta.

Comienza una lucha sin cuartel. Sin dejar de utilizar los servicios básicos de servidor de archivos, impresoras, aplicaciones, sin dejar de parar el sistema, sin dejar a los usuarios sin trabajar, dejo a servicios web, FTP, Interbase, Oracle APEX, sin funcionar.

Escaneo y limpio equipos infectados: servidores, PC’s, terminales punto de venta, que realmente no se desinfectan del todo o bien se reinfectan rápidamente. En ningún momento se deja de trabajar.

Caen servicios continuamente: Terminal Server, Programador de Tareas, Servicios WEB, servicios de impresoras, etc. todo ello se levanta cambiando y limpiando equipos y servidores.

Entramos en Octubre y la situación es ya insostenible. Contínuamente la VPN está saturada y VoIP no circula fluidamente. Microsoft Malware Removal Tool, v. 1.20 no es capaz de detectar la presencia. Tampoco Panda Antivirus ActiveScan PRO, con licencia. Ni Computer Associates, ni MCAfee.

29 de Noviembre. Nueva caída de servicios de impresora EPSON en red en un terminal punto de venta. Situación crítica que ya se ha repetido en 5 ocasiones en otros terminales. Ataco el problema instalando Karpesky v. 7 en el terminal. Detecta a MSSMP.EXE, me deja KO el teclado y el TPV no puede funcionar. Me da la pista de MSSMP.EXE en C:\WINNT\SYSTEM32.

Al día siguiente descargo Windows Malware Removal Tool, v. 1.35. Detecta W32/Rbot, quien es eliminado de \WINNT, pero no correctamente del registro, donde ataco eliminando todas sus entradas.

Reinicio, y aunque es necesario reinstalar el sistema por la caída del teclado, tengo la forma de solucionar el problema. Entre los días VIE 3O/11, SAB 1/12, y DOM 2/12, atacando los terminales y servidores en horas fuera de servicio, sin dejar el sistema parado, se escanean y reparan 5 servidores físicos, 4 virtuales, 22 terminales punto de venta, 12 equipos de oficina, utilizando Cliente RDP y Real VNC.

Hoy, 14 Diciembre, 5 meses después, COMUNITEL me notifica que no existe tráfico de salida a internet en los puertos que utilizaba W32/Rbot, 135, 136, 137, 6667. Supongo que estamos en buen camino, de desinfección total.

Todo esto sin parar, yo mismo y el sistema. Ahí queda.

Windows Malware Removal Tool, http://www.microsoft.com/security/malwareremove/default.mspx

Karpersky v. 7, http://www.kaspersky.com/removaltools

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: