Día lunes 16/03/09 Primer caso reportado: Pedeciba (Gabriela García). Síntomas: fecha cambiada, antivirus desactivado, imposible actualizar Windows, mensajes de error de programas como jusched.exe y system.exe. Al insertar pendrive, lo infecta con explorer.exe y autorun.inf. Pero el primer día ningún antivirus puede identificarlo. Se reporta y envía una copia del virus a ClamAV para identificación.
El equipo anda cada vez peor, hasta el punto que ya no responde.
Siguenreportes de Contaduría con varios equipos afectados con similares problemas, luego personal, compras, suministros, etc.
Los equipos afectados son fundamentalmente de áreas administrativas. Hacia el final del día empiezan a aparecer reportes de áreas académicas (ICB, Biología, etc.)
Día martes 17/03: aparecen reportes en internet de casos similares. Se sugieren varias soluciones que se ensayan, sin resultado positivo. Todavía no se había podido indentificar el virus/troyano.
Día miércoles 18/03: aparecen los primeros antivirus capaces de identificar el virus. Se escanea una copia de explorer.exe en VirusTotal.com. Unos pocos antivirus logran detectar al virus. Se lo identifica con un downloader.
Se determina que el virus emplea dos variantes. Una que infecta al equipo en sí, y realiza las copias que se propagan por pendrives y la red. La otra es el downloader propiamente dicho, que se encarga de bajar la copia del virus a infectar el equipo. Lo que se propaga por los pendrives es el downloader. Posiblemente porque el downloader es pequeño y puede copiarse rápidamente a pendrives.
reportes obtenidos:
Se envía para escaneo copia del virus en sí. s identificado por menos del 50% de los antivirus de plaza y es identificado como un Backdoor/Rootkit, con capacidad stealth, por lo que resulta difícil de detecxtar en los equipos y no se pued identificar el proceso asociado al troyano. El troyano se copia en el sistema como system.exe.
Miércoles de tarde recién aparece una herramienta en internet capaz de detectar y borrar el troyano. Se ensaya su uso en algunos equipos con resultado positivo. Se envía una email a todosfq recomendando que todo el mundo baje y corra el programa de detección y erradicación del troyano.
El programa empleado es elistara.exe (http://www.zonavirus.com/datos/descargas/78/EliStarA.asp)
En algunos equipos, el daño realizado por el troyano es de magnitud tal que resultan irrecuperables. Esos equipos deben necesariamente ser reinstalados previa recuperación de datos del disco.
Se detecta la presencia del troyano en servidor del C2 y HLBROU. Se confirma entonces la propagaión del troyano a través de discos compartidos de Windows. El troyano aprovechó la principal debilidad de los sistemas de gestión basados en filesystems compartidos de Windows, ya que requiere que los equipos que tengan acceso lo hagan con todos los privilegios independientemente de los privilegios que originalment entengan los usuarios de estos sistemas de gestión, algo que oportunamente advertimos que podía llegar a ocurrir. Es así que se determina que la via principal de propagación del virus en la red de equipos administrativos es através del filesystem de Windows que por su naturaleza no ofrece seguridad alguna.
Los principales factores que contribuyeron a la propagación del troyano fueron debidos a malas prácticas de uso de equipos informáticos:
La infección por el troyano y la consecuente inhabilitación de varios PCs de administración se vio perjudicada por las siguientes malas prácticas de gestión: