Angel Cortés - Los sitios de contenidos para adultos son una
de las "victimas" más importantes de los sistemas de intercambios de ficheros.
En eMule, eDonkey, Kazaa, Morpheus, los usuarios pueden encontrar de todo sin
pagar ni un euro y sitios web Web que hasta ahora obtenían suculentos beneficios
con las cuotas se encuentran cada vez con menos ingresos.
Algunos, los más serios, que también los hay en este negocio, siguen manteniendo
su negocio con contenidos de calidad y exclusivos. No les va mal, aunque
reconocen que los P2P les ha afectado. Los otros, la gran mayoría, no paran de
"investigar" para arrancar lo que sea del usuario incauto que desconoce en
muchas ocasiones por donde pisa.
Estos fueron los inventores del famoso código que impide cerrar las páginas, o
mejor dicho que crean un bucle infinito cada vez que lo intentamos, hasta que
finalmente consiguen colgar el equipo.
También inventaron sistemas engañosos, escondiendo dialers en aplicaciones para
visualizar ficheros, principalmente imágenes o videos, que se activaban cuando
el usuario daba autorización para instalar esa herramienta en el PC.
Ahora han descubierto la gran oportunidad que representa una vulnerabilidad en
la Máquina Virtual de Java del Internet Explorer, instalando de forma totalmente
transparente un troyano en el equipo que modificará ciertas configuraciones del
registro y el comportamiento del navegador.
Este troyano, insertado en un applet de Java, se activa sin la intervención del
usuario, cuando éste visita una página Web o un correo electrónico con formato
HTML que lo incluya en su interior.
La presencia de este applet en el código de la pagina es desconocida por el
usuario por lo que su única solución es actualizar la Microsoft Virtual Machine
(todas las versiones anteriores a la 3809, incluida esta, presentan el fallo)
con uno de los updates de seguridad que Microsoft dispone en su sitio.
¿Que sucede?
Una vez visitada la pagina, el applet se carga en memoria y empieza a actuar.
Cambia la configuración del Internet Explorer, de modo que su página de inicio y
las opciones de búsqueda son redirigidas a una página proporcionados por él,
modificando para ello algunos componentes del Registro del Sistema:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Use Search Asst = [valor proporcionado por el troyano]
Search Page = [valor proporcionado por el troyano]
Start Page = [valor proporcionado por el troyano]
Search Bar = [valor proporcionado por el troyano]
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search
SearchAssistant = [valor proporcionado por el troyano
Modificados estos parámetros, si escribimos una url, sin el "http"
automáticamente aparecemos en la página que nos han insertado en nuestro
registro. Una página que, además, suele incluir el applet, además de sistemas de
identificación del usuario para robar "logins" y passwords cuando se trata de
acceso a páginas que lo pidan.
Aún más peligro
Sin embargo, el peligro puede ir mucho más lejos
En algunas de las paginas localizadas hemos encontrado nuevos applets que
instalan ficheros en el sistema y modifican otros existentes, como el "hosts"
para que cuando pulsemos unas urls determinadas seamos redirigidos a otros
lugares que le interesen al creador del troyano.
Por último, también modifica unos flags en el registro, evitando que podamos
modificar o bloquear a mano, a través del panel de herramientas, las
modificaciones introducidas.
Rusos y americanos a la una
Uno de los lugares donde podemos encontrar el código es en "defaultsearch.net".
Si miramos el código fuente de esta pagina veremos lo siguiente:
"<script>document.writeln('<APPLET ARCHIVE="archive2.jar" CODE="BlackBox.class"
WIDTH=1 HEIGHT=1></APPLET>');</script>"
Siendo este applet el que se encargará de modificar el comportamiento de nuestro
navegador, colocándonos como pagina de inicio y de búsqueda este enlace.
En apariencia, "Defaultsearch" es un buscador "convencional" que ofrece, como
valor añadido, la búsqueda a sitios "no censurados". Para ello utiliza el
"motor" de "coolwebsearch", una empresa radicada en Estados Unidos y enfocada al
sector de contenidos para adultos.
El mismo applet incluido en Defatultsearch podemos encontrarlo en otras páginas
de la factoría de "Vadim Fedorov", un ruso afincado en Praga, y que
abarcan casi todos los temas de la pornografía. Además, este prolífico
empresario, mantiene un sitio de venta de contenidos para otros sites (www.nevest.net/),
elaboración y comercialización de "dialers" y hasta servicios de alojamiento de
páginas Web, correo electrónico o registro de dominios
Vamos para confiar en su privacidad
Como deshacernos del troyano
1. Actualizar la Versión de la Maquina Java
En primer lugar, más vale prevenir que curar, debemos comprobar cual es la
versión de nuestra máquina Java. Para ello debemos abrir una ventana MS-DOS,y
teclear: JVIEW, despues de ello, le damos al enter.
En la parte superior nos aparecerá un texto que dira: "Cargador de línea de
comandos de Microsoft (R) para Java Versión 5.00.xxxx", donde xxxx es la versión
actual. Debemos actualizarla a la versión 3810, si el número que nos aparece es
inferior.
Para ello acudiremos a Microsoft a uno de los siguientes enlaces: http://www.microsoft.com/technet/security/bulletin/ms03-011.asp
o al http://windowsupdate.microsoft.com/
2. Borrado manual de los archivos creados por el gusano
Comrpueba si tienes algunos de estos ficheros en su ordenador. Si es así,
eliminalos
c:\windows\s.htm
c:\windows\hosts
c:\windows\system32\drivers\etc\hosts
c:\windows\favoritos\Nude Nurses.url
c:\windows\favoritos\Search You Trust.url
c:\windows\favoritos\Your Favorite Porn Links.url
Una vez borrados vamos a la "Papelera de reciclaje" en el escritorio, y
seleccionamos "Vaciar la papelera de reciclaje".
3. Editamos el registro
Ejecutamos el editor de registro: Inicio, ejecutar, escribimos REGEDIT y
pulsamos ENTER
Miramos los valores que nos ofrecen los siguientes registros:
HKEY_CURRENT_USER
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKEY_LOCAL_MACHINE
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main\SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Main\CustomizeSearch
HKLM\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
Eliminando aquellas direcciones, no la clave del registro que nos sean
sospechosas o que no no correspondan con Microsoft.
Finalmente reiniciamos el ordenador y teóricamente ya hemos conseguido
deshacernos de él.