Limpiando Virus (I)

Hace un par de meses, compartía con vosotros el monográfico Luchando Contra Los Virus. En él, veíamos cómo defendernos de esos molestos programas que se instalan en nuestro ordenador sin nuestro conocimiento, y que nos la lían en mayor o menor medida, evitando en la medida de lo posible que nos infecten. En esta nueva entrada, veremos la forma de limpiar esos virus. La voy a dividir en 2 partes: en la primera parte, veremos la forma de limpiar virus cuando nada funciona, es decir, cuando Windows ni siquiera llega a arrancar. En la segunda parte, veremos la forma de limpiar virus cuando al menos podemos hacer algo con nuestro sistema operativo. Empecemos.

Introducción

En la primera parte del monográfico Luchando Contra Los Virus, veíamos una definición de lo que es un virus. Básicamente, podemos generalizar diciendo que un virus es cualquier programa que se instala en nuestro ordenador, con conocimiento o no del usuario, y cuya instalación conlleva una serie de efectos indeseados en él. Hay 3 conceptos que tenemos que tener claros a la hora de tratar con los virus:

  • La forma en que se propagan: es decir, la forma que tienen de entrar en nuestro ordenador y activarse en él. El monográfico mencionado ya trató este tema de forma exhaustiva.
  • El fichero que contiene el virus: los virus residen en nuestro ordenador en forma de ficheros ejecutables (es decir, programas). Los virus realizan su actividad nociva en el momento que se ejecutan los programas que los contienen.
  • El método de carga del virus: para que el programa que contiene el virus se active, necesita algo que lance ese proceso de activación.

El primer concepto nos permite defendernos a la hora de evitar que el virus entre en nuestro ordenador. Pero una vez que el virus está dentro, necesitamos averiguar en qué fichero o ficheros se encuentra, y la forma que tiene de activarse, para eliminar cualquier rastro del mismo. Normalmente la activación se realiza durante la carga de Windows, introduciendo determinada información en el proceso de arranque de forma que el código malicioso se ponga a funcionar cada vez que encendemos el ordenador. En ocasiones, el virus es tan dañino que, en el momento que se carga, impide que Windows siga funcionando, provocando un reinicio del ordenador, o sencillamente colgándolo para evitar que su carga continúe. Este tipo de virus son los que trataremos en esta primera parte.

Para ayudarnos a identificar tanto los ficheros infectados, como las secuencias de carga que utilizan, podemos valernos de los programas antivirus. Un antivirus es un programa que analiza cada fichero de nuestro ordenador en busca de identificadores de virus. Si el antivirus encuentra dicho identificador, nos avisará. A día de hoy existen antivirus que también se basan en el comportamiento de los programas, avisándonos en el momento que realicen ciertas tareas sospechosas.

Un caso práctico: el virus de la policía

Para enseñaros cómo se limpia un virus, lo mejor es ir a la práctica. Me he decantado por un virus que, a pesar de tener ya cierta antigüedad (se notificó su existencia en Enero de 2012, aquí tenéis la nota de prensa de emitida por el Cuerpo Nacional de Policía), sigue totalmente vigente, y sigue infectando diariamente a miles de ordenadores: el llamado virus de la policía, o también llamado virus Ukash. Se trata de un virus que, una vez que entra, nos bloquea el ordenador indicando que se ha detectado actividad ilegal, y obligándonos a pagar una multa de 100€ para desbloquearlo. Para el pago de dicha multa, nos invita a comprar bonos Ukash (es un método de prepago para compras por Internet) e introducir el código en un cuadro de texto. Evidentemente se trata de una estafa, y han conseguido que miles de usuarios hayan picado, y por consiguiente, hayan pagado esa supuesta multa.

Se trata de un virus del que existen multitud de variantes, cada una tiene un proceso específico de desinfección (en muchos casos se trata simplemente de arrancar el ordenador en modo seguro y eliminar un fichero), y a pesar de que existen herramientas específicas para su eliminación, voy a utilizarlo para explicaros cómo se puede limpiar un virus de forma genérica. Es decir, en esta entrada no voy a explicar cómo se limpia este virus de forma específica, sino que voy a dar una serie de pasos universales para limpiar virus en cualquier ordenador.

Sólo por comentar, este virus infecta los ordenadores aprovechando una vulnerabilidad en la Máquina Virtual de Java, y su forma de entrar es prácticamente indetectable para la mayoría de antivirus, incluso los comerciales más potentes, de ahí su amplia difusión, y el hecho de que a día de hoy siga vigente (ha pasado ya más de un año desde su primera aparición). Por ello, es totalmente necesario tener nuestra versión de Java actualizada, así como el navegador de Internet. Una vez que entra, dependiendo de la variante, nos muestra la pantalla de bloqueo en vez del escritorio habitual, dejando el ordenador completamente bloqueado, incluso arrancando en modo seguro.

No puedo utilizar Windows, ¿qué hago?

Lo primero, no desesperarte: hay una solución.

Lo segundo, necesitamos algo que nos permita trabajar con nuestro ordenador para poder eliminar de alguna forma el virus. Ese algo es un disco de arranque.

Te recomiendo que le eches un vistazo al artículo Qué es un ordenador: conceptos básicos para entender mejor los conceptos de los que voy a hablar ahora

Cuando pulsamos el botón de encendido del ordenador, éste realiza una serie de comprobaciones para verificar que todos los dispositivos estén funcionando correctamente, e inmediatamente le pasa el control al sistema operativo. Normalmente tenemos nuestro sistema operativo (en este caso Windows) instalado en el disco duro del ordenador, y directamente arranca de él. Pero también podemos tener un sistema operativo en un dispositivo externo. En la prehistoria de la informática, cuando tener un disco duro era un lujo, el sistema operativo se encontraba en diskettes, que tenían que estar introducidos en la unidad lectora para poder arrancar el ordenador. Actualmente, podemos arrancar sistemas operativos desde CDs o DVDs, discos duros externos, lápices de memoria, tarjetas de memoria, etc...

Casi todos los fabricantes de antivirus, disponen de CDs de arranque que nos permiten cargar un sistema operativo limpio desde el que poder realizar una revisión de virus. Los suelen llamar discos de rescate.

Kaspersky Rescue Disk

Uno de los discos de rescate más versátiles y completos, es el que proporciona la casa antivirus Kaspersky, y será el que utilice en este artículo. Si has comprado cualquier versión de este antivirus, y tienes el disco de instalación, estás de enhorabuena: ese disco YA es disco de rescate, por lo que puedes saltar al bloque Matando al bicho. Si no es así, sigue leyendo.

Evidentemente, si tenemos el sistema operativo bloqueado, no podemos utilizar nuestro ordenador. A día de hoy, casi todo el mundo tiene 2 ordenadores en casa, por lo que deberemos utilizar nuestro ordenador sano. Si no, a día de hoy casi todo el mundo tiene amigos, así que habrá que tirar de nuestra agenda de contactos.

Lo primero de todo, tenemos que descargar la imagen ISO de la página de Kaspersky. Puedes acceder a través de este enlace.

En la sección Downloads & Info, tenemos ya el botón Distributive. Al pulsar sobre él, comenzará la descarga de un fichero ISO. Un fichero ISO contiene una imagen completa de un CD. Es como si hiciesemos una "foto" de todo el contenido de un CD, y lo almacenásemos un un único archivo. Es un fichero bastante grande, puede tardar varios minutos en descargar, dependiendo de la velocidad de nuestra conexión a Internet. Lo guardaremos en una carpeta cualquiera de nuestro ordenador, por ejemplo, en el escritorio. Una vez descargado, deberemos grabar la ISO en un CD (es decir, es como si "revelásemos" esa foto que hemos hecho previamente del CD).

Consulta el artículo de la Base de Conocmiento Cómo grabar ficheros ISO en CD o DVD para obtener más información acerca del proceso

Matando al bicho

Bien, ya tenemos nuestro CD con un sistema operativo limpio del que arrancar para poder limpiar virus. Lo primero que tenemos que hacer, es meter el CD y arrancar el ordenador (aprovecha esos segundos iniciales de autochequeo del PC para abrir la bandeja e introducir el disco). Una vez finalizadas las comprobaciones iniciales, el ordenador comenzará a buscar el sistema operativo en todos los dispositivos de almacenamiento del ordenador: lápices de memoria, discos duros externos, unidades de CD, disco duro interno... Esta búsqueda sigue un orden, y en el momento que encuentra el sistema operativo en un dispositivo, arranca de él, ignorando los demás. Este orden de búsqueda es configurable.

Consulta el artículo de la Base de Conocimiento Arrancar desde CD o DVD para obtener más información acerca de cómo realizar esta configuración

Una vez que el ordenador encuentre el CD de arranque, nos mostrará una ventana como esta

con una cuentra atrás. Deberemos pulsar cualquier tecla para activar el menú. Lo primero que nos preguntará es el idioma. Por desgracia, el Español no está entre ellos. Seleccionaremos con los cursores el idioma con el que estemos más a gusto, y pulsamos Enter. En esta guía, seguiré los pasos en inglés. Se nos mostrará el contrato de licencia, que aceptaremos pulsando la tecla 1. Y por último, nos preguntará la forma en que queremos que se arranque el disco. Escogemos Kaspersky Rescue Disk. Graphic Mode. A partir de ese momento, comenzará la carga del sistema operativo.

Una vez finaliza la carga del sistema operativo, nos encontraremos con una pantalla como esta:

Aquellos que hayan utilizado Kaspersky alguna vez, les resultará familiar. Lo primero que tenemos que hacer, es actualizar la base de datos de definiciones de virus, para asegurarnos de que vamos a trabajar con la más reciente. Para ello, vamos a la pestaña My Update Center, y pinchamos en Start Update. Esta actualización puede durar varios minutos, dependiendo de la velocidad de nuestra conexión.

Ojo: Para realizar esta tarea, el ordenador debe estar conectado a Internet. Si tienes un ordenador conectado por cable al router, normalmente no tendrás problema. Si está conectado normalmente por wifi, te aconsejo que lo conectes por cable momentáneamente, mientras se realiza la actualización. Si te atreves, este sistema operativo permite la conexión por wifi, pero puede ser algo engorroso: deberás pinchar en el icono de redes, en la parte inferior derecha, y localizar y conectar con tu red, a la manera habitual en otros sistemas operativos. No obstante, Kaspersky suele colgar ISOs con versiones de la base de datos bastante actuales, así que en caso de tener problemas con este punto, podrás seguir trabajando normalmente.

Cuando la actualización haya finalizado, iremos a la pestaña Objects Scan, y nos aseguramos de tener marcados todos los componentes de la lista que aparece. Posteriormente, pincharemos en Start Objects Scan, para comenzar la búsqueda de virus.

Cuando la búsqueda finaliza, aparece una ventana emergente indicando las infecciones encontradas. Marcamos el checkbox Apply to all objects, y seleccionamos Delete (recommended).

El antivirus eliminará todas las amenazas, y finalizará su ejecución. Pinchando en Report, en la ventana principal, podemos ver un informe donde encontraremos las infecciones encontradas, la acción realizada, y posibles errores en la búsqueda.

Una vez que hayamos terminado, acudiremos al botón que contiene una K en la esquina inferior izquierda, y seleccionamos Reboot. Con esto, reiniciaremos el ordenador. Durante el proceso, se extrae el disco donde está el sistema operativo. Lo retiramos, y pulsamos una tecla. Nuestro Windows arrancará completamente limpio de virus.

Terminando

Como comentábamos al principio, la limpieza de un virus comprende distintas partes. Ya hemos limpiado los archivos que contienen los virus. Ahora tendremos que eliminar las entradas del registro infectadas, las entradas en el arranque de WIndows que hacen que se ejecute el virus, etc... En una palabra, deberemos eliminar todos los restos del virus. Para ello, puesto que ya podemos arrancar correctamente nuestro sistema operativo, deberemos seguir los pasos que se indican en la entrada de blog Limpiando Virus (y II).