PDA

Ver la versión completa : Virus Nestha.A /Win32 - Cómo detectarlo y eliminarlo [Tutorial Completo]



Leonardomk4
29/06/2020, 11:21
Tutorial sobre el virus Nestha

[Only registered and activated users can see links]

Cómo detectarlo y eliminarlo

INTRODUCCIÓN
El presente tutorial que hoy os comparto, es traído a ustedes no solamente como una guía de ayuda para desinfectar vuestro PC, sino, además, como una bitácora personal a través de la cual pude diligentemente lograr un efectivo avance sobre este virus informático y su posterior erradicación.

SINTOMATOLOGÍA
Es necesario conocer los síntomas para poder diagnosticar, tanto para el tratamiento de este virus como para cualquier otro. Así como nadie va al médico cuando se siente bien, imagino que, si estás leyendo este tutorial, posiblemente sea por síntomas atípicos en tu PC, que podrían evidenciar un comportamiento anormal de tu sistema operativo o de alguno de los programas que lo integran.

EVIDENCIAS
En mi experiencia personal, denomino aquel día como “el día uno”, es decir, cuando comenzó el conflicto. El primer llamado de atención para mis sentidos fue al notar una gran lentitud en Windows, sumado a que varios programas no se abrían, o incluso si lograban ejecutarse, su funcionamiento era irregular. Podría citar como ejemplo al programa WinRAR, que no comprimía ni descomprimía, dando errores sin sentido, tales como “no se pudo hallar la ruta” o “no hay archivos para comprimir”. Otro caso en concreto era el Word, que directamente no abría. También recuerdo que al dar botón derecho sobre Equipo (antiguamente conocido como Mi PC) el resultado era nulo, es decir, nada ocurría.

[Only registered and activated users can see links]

PREGUNTAS
Entre mi razonamiento y mi intuición, un constante diálogo había comenzado, al mejor estilo Sherlock Holmes. Intentando autoconvencerme que yo no tenía ningún virus (¿yo, un virus?) me propuse reinstalar el WinRAR. Reinicié la PC, por supuesto… pero no había ninguna diferencia, todo seguía igual.
Mi razonamiento avanzó a la siguiente estación, ¿qué podría andar mal si mi software está limpio y no tengo chance de tener un virus? Claro, me está fallando el disco duro, pensé. Todas las miradas se posaron sobre el bastante nuevo SSD M.2 NVme, nombre largo, por cierto, para un objeto tan diminuto.
Lo desconecté, lo conecté, algunas pruebas no muy concluyentes, y claro, comencé a buscar el número de teléfono del fabricante para llevarlo a revisar por la garantía…
Tal como me habían recomendado mis amigos Dan y Neko (los menciono con seudónimos, por ahora, a fin de resguardar vuestras identidades) era necesario revisar “ese” tema. Ese tema viene siendo el posible tema del “virus”. Lo aclaro por las dudas.
Volviendo a la hipótesis del aparente fallo en el disco duro de nombre interminable, instalé un SSD más antiguo (y en desuso) que tenía archivado en la biblioteca. Adscribiendo al histórico mito que se presume en el campo informático de “formatear elimina todos los males”, procedí con alegría y sin el menor recelo, a la sentencia que pondría punto final al problema, en otras palabras, la solución perentoria de la mano del insigne comando format C:
La instalación comenzó en seguida, el vetusto SSD Samsung EVO 850 Black había dejado de ser un enser atávico, para derrocar con protagonismo redentor al aparente novicio neófito SSD NVme M2. Sin inconvenientes a la vista, la instalación había sido todo un éxito.
Comencé a instalar los programas habituales, esos básicos que todos necesitamos: los drivers, los navegadores, el WinRAR, configuraciones varias; cuando me invadió la inocultable pregunta. ¿Está todo bien ahora? Con cierto temor a responder la pregunta a través de hechos -y no por meros sentimientos especulativos-, dejé de distraerme con las configuraciones de colores y fondos de pantalla, para hacer las pruebas correspondientes.
Para mi sorpresa, una inesperada y agria noticia, otra vez la misma sintomatología. El WinRAR no lograba comprimir ni descomprimir, arrojando errores incoherentes, el botón derecho no funcionaba en múltiples sitios, lentitud, congelamiento… ¿qué tragedia me acosaba? ¿qué presencia infame me perseguía desde lejanos confines, menoscabando mis posibilidades intelectuales y mi potente presuntuoso ordenador?
La sentencia final, el eximio formateo del disco duro, no había logrado su idílico anhelo. El mito libertador de todo mal no me estaba trayendo salvación, sino padecimiento. Una y otra vez volvía al ejercicio del pensamiento reflexivo, mi plan táctico, mi estrategia de guerra para subyugar al enemigo incorpóreo. ¿Qué estaré haciendo mal? ¿Tendrá algún problema el sistema operativo que intento instalar? ¿Se habrá grabado mal la imagen .iso de Windows? ¿Estaré cometiendo algún error típico de un descuidista atolondrado? empero ¿dónde hallaré sosiego?
Luego de infructuosos intentos, nuevos formateos, diferentes versiones de Windows y alternar entre distintos pendrives, lápices USB y unidades ópticas de DVD, el mito que asocia al formateo con la erradicación de todos los males universales se desvanecía, se escurría como arena entre las manos. Mi posibilidad de razonamiento en la ya cuasi extinta madrugada, era incapaz de atinar un juicio justo y mucho menos una solución concreta.
Dos días más tarde, exhausto de tanto buscar y no encontrar, desanimado de tanto insistir y sólo cosechar un silencio incisivo lacónico, los malos pensamientos no tardaron en llegar. ¿Acaso este feroz hostil rival osaría permanecer en el anonimato perpetuo por toda la eternidad?
Ocho horas más tarde, con la mente menos perturbada y la capacidad de razonar de nuevo activa, hice un recorrido mental inverso, como una suerte de cangrejo que avanza, pero hacia atrás, y así analizar fríamente en qué otro sitio podría estar el yerro que me hacía tropezar.
En un acto de arrojo, probé con otra versión de Windows, esta vez con una .iso completa de las que se bajan desde el sitio oficial del fabricante. Sí, esas con bloatware (software de relleno) y publicidades varias de Mocosoft.
Aparentemente, todo seguía igual, salvando las grandes diferencias entre el sistema original y las cada vez más populares Lites que yo utilizo, las versiones reducidas “descafeinadas” sin aditamentos fatigosos.
Sin embargo, muy a mi pesar, esta vez la sorpresa ya no fue agria sino ácida, desagradable, repugnante, desapacible y ominosa. Aun así, cual pócima de almíbar amargo, logró reconfortar el ardid de maquinaciones misteriosas que se dirimían con angustia dentro de mí, en estos últimos cuatro largos días.
La noticia se hizo evidente y explícita en el medio de la pantalla. Windows Defender había hecho su faena, había cazado el sigiloso virus.

Un intruso pernicioso pero sutil
Windows Defender encontró la amenaza que en silencio asediaba y bloqueaba mi PC. También le puso nombre y apellido: NESTHA.A /WIN32

[Only registered and activated users can see links]


Sí que cambia el diagnóstico cuando uno conoce el nombre del adversario, ¿verdad? ¿o cómo podríamos dar batalla sin saber contra quién peleamos?



TENEMOS QUE HABLAR

¿Si ya habías formateado el disco duro, de dónde salía ese virus?
-Evidentemente, no del disco duro principal.

¿Si ya habías formateado los pendrives USB, de dónde salía de nuevo el virus?
-Evidentemente, tampoco del pendrive USB.

¿Entonces me estás diciendo que aparecía mágicamente del éter?
-No, en computación la magia y el éter no intervienen, sino la ciencia exacta.

¿Podrías explicar eso? No lo de la magia ni el éter, sino lo del virus.
-Sí, claro, para eso estoy escribiendo este tutorial. El virus venía del SSD secundario.

¿Y por qué no avisaste antes que tenías un SSD secundario conectado?
-Me di cuenta luego, por decantación, por descarte. El virus entró y se alojó de forma encubierta también en el SSD secundario, donde guardo los archivos, documentos y programas.

¿Alguna conclusión antes de terminar este diálogo?
-Sí. El virus resurgía al instalar algunos programas desde el disco secundario. Lógicamente que cuando probaba descargándolos desde una página web (por ejemplo, la de WinRAR) no me daba ningún error. Por eso me desorientaba esa falsa estabilidad del sistema, cuando aparentemente ya se había solucionado el problema.

¿Por qué no probaste con un Live para bootear en modo seguro?
-Probé con el famoso live ruso Sergei Strelec, pero el apartado de antivirus que ofrece, no me funcionaba, al igual que Kasperski, por no hallar conectividad a internet.


TRATANDO DE ENTENDER
Una vez que pude entender y conocer el comportamiento de este virus, puse en marcha un plan de acción que me llevó a la solución cabal y a la desinfección de todos los dispositivos infectados. ¡No te desesperes!


COMPORTAMIENTO DE ESTE VIRUS
Este virus tiene la particularidad de adherirse a los .EXE (a todos los archivos ejecutables que tengas en cualquier dispositivo conectado a tu PC). Ya sea el disco duro principal, o bien un pendrive USB o el disco duro secundario, etc. Todo lo que tengas conectado a tu PC, si tiene archivos .exe, se infectará.
La forma tradicional de visualizar archivos ocultos desde el explorador de Windows -o bien por MS-DOS dando atributos con el comando ATTRIB- no funcionan. Este virus logra infectar a los .exe y al mismo tiempo adherirse a ellos. Una nefasta estrategia que finge no estar en ninguna parte, cuando en realidad está agazapado en el mismo archivo. Al hacer doble clic sobre el archivo infectado, el programa original se coloca en un archivo temporal y se ejecuta. Modifica el registro para ejecutarse cada vez que un archivo .EXE es llamado por el sistema. Cuando ello sucede, el virus busca otros archivos .EXE y los infecta, agregando su propio código al principio de los mismos, aumentando su tamaño original.
El virus Win32.Neshta.A, apareció en el año 2016, pero todavía no aparece en la base de datos de todos los antivirus. Si bien es detectado por la una amplia mayoría de los antivirus, otro problema que encontré es que éstos eliminan TODOS esos ejecutables infectados. Solo AVG logró desarrollar una herramienta para desinfectar todos esos ejecutables contagiados, sin necesidad de eliminarlos o ponerlos en cuarentena.


¿Un virus, es un Malware?

[Only registered and activated users can see links]

Malware es una palabra formada por la unión de dos vocablos: MAL (malo) y WARE (desinencia de softWARE). Por lo tanto, Malware es la palabra que abarca a todo el software maligno, incluyendo a los virus.
Un virus es un software malicioso, al igual que un troyano, un adware, un ransomware, etc., y entre todos ellos forman la familia de malwares.
Que un virus en particular esté o no dentro de las capas de detección de un antimalware, puede ocurrir, y con todas las firmas sin excepción. Ninguna firma es 100 % efectiva en la detección y/o eliminación de malwares. “Al mejor cazador se le escapa la libre” y no hay antivirus infalible.


¿Cómo removiste el virus?
La empresa AVG desarrolló un programa de sólo 3 MB que escanea todo lo que tengas conectado al PC y lo revisa en unos 15 o 20 minutos. Y sí detectó el virus NESHTA.

[Only registered and activated users can see links]
ENLACE AL SITIO WEB OFICIAL DE AVG ([Only registered and activated users can see links]) | ENLACE POR DESCARGA DIRECTA ([Only registered and activated users can see links])


¿Cuántos archivos se habían infectado?
Tantos como .exe tuviera el sistema... al final del análisis fueron en total 282 en mi caso

[Only registered and activated users can see links]


¿Perdiste aquellos archivos que estaban infectados?
Como dije anteriormente, no los perdí, ni tampoco AVG los eliminó. Sencillamente los limpió sin necesidad de eliminarlos ni ponerlos en cuarentena. En esta captura se aprecian los .exe infectados en el disco duro secundario.

[Only registered and activated users can see links]


¿Quiénes sí lo detectaron?
Virustotal, 360 Total Security, Superantispyware, Webroot, y DR.WEB Cure It, altamente efectivo.

[Only registered and activated users can see links]


En esta captura de pantalla, muestro una comparativa entre Dr.Web Cute It y la herramienta de limpieza de AVG. El software ruso detecta el virus incluso estando en su contenedor .exe (no había sido ejecutado ni esparcido el virus, estaba en su envase, esperando a una víctima inocente que le diera doble clic) aún así, Dr.Web Cure It, sí lo detectó. AVG arroja 'cero' en cantidad de archivos infectados, ya que al no haber sido ejecutado en memoria, no logra detectar al .exe malicioso.

[Only registered and activated users can see links]


¿Quiénes no lo detectaron?
ESET, SMADAV y Malwarebytes no lo detectaron. Tener presente que éste último solamente protege en su versión Premium (de pago), y es necesario tener la opción Shuriken activada.

[Only registered and activated users can see links]


[Only registered and activated users can see links]


[Only registered and activated users can see links]




OPCIONES DE ANTIVIRUS EN EL MERCADO

[Only registered and activated users can see links]

Hoy en día son muy variadas las opciones disponibles para el tema del antivirus, en mi experiencia, recomiendo el 360 Total Security por los siguientes motivos: no causa molestias trabajando en Windows, es discreto, liviano en tamaño, y permite desactivarlo muy fácilmente. Su licencia de pago es económica y dura todo el año. Recomiendo no buscar opciones pirata en este rubro, ya que podrían durar muy poco tiempo o directamente no funcionar y traer más problemas que beneficios. En el rubro de Protección para navegar por internet, la mejor opción sigue siendo la misma de siempre, la atención y precaución. Si aún así te hace sentir más cómodo tener un software que te ayude, sin dudas el ESET NOD32 es la mejor herramienta. Insisto en no escatimar a la hora de pagar por la licencia. Es una módica suma anual y ya te quedás tranquilo.

ESCANEAR UN ARCHIVO EN LÍNEA
Si descargas archivos de internet muy frecuentemente, un escaneo antes de instalarlo, te puede ahorrar dolores de cabeza. Hay un buen número de opciones para esto:

DR.WEB ([Only registered and activated users can see links])

VIRUS TOTAL ([Only registered and activated users can see links])

META DEFENDER ([Only registered and activated users can see links])

VIR-SCAN ([Only registered and activated users can see links])

KASPERSKY ([Only registered and activated users can see links])

ANTI SCAN ([Only registered and activated users can see links])

JOTTI ([Only registered and activated users can see links])


CONCLUSIÓN
Hoy en día para descargar casi cualquier cosa, legal o no, con crack o no, con serial number o no; series, películas, programas, un archivo pdf, etc., te encontrarás con algo denominado acortadores y enmascaradores. Todos contienen un cierto número de publicidades, que pueden funcionar como azarosas cajas de pandora. De antemano no se puede saber si la empresa que está pagando ese sponsor, publicará un enlace malicioso, un potencial virus, o algo similar. La gran mayoría de los acortadores (que inicialmente tienen la misión de proteger esos enlaces para que no los borren) incluyen Pop-ups, que son ventanas emergentes que afloran cual burbujas en un spa.
Los acortadores van abriendo un cierto número de publicidades, pueden ser dos, tres, cuatro, cinco, o incluso más. Algunas de estas ventanas se cierran "aparentemente" solas. Otras son absorbidas por el Add-on conocido como "Ad-Bloquer" para los que lo utilicen (hay muchos más, menciono éste como uno de los más populares hoy en día) y debemos saber que en ese aviso publicitario se puede insertar perfectamente un código malicioso, o bien un enlace que lleve a un falso enlace de descargas que finalmente contenga un archivo no deseado y ese archivo sea un ejecutable al estilo del virus Nestha que hoy analizamos.

¡A tener mucho cuidado!

¡Atención a qué sitios entras!

Si no te da mucha confianza, y es una página llena de anuncios y publicidades, quizás sea mejor no continuar.

Si el programa (o lo que sea que estés intentando descargar) no se consigue muy fácil, quizá sea una buena oportunidad para comprarlo y tenerlo original.

Recuerda siempre tener resguardo o backup de todos tus documentos o archivos que sean valiosos.


¡Espero este tutorial te haya servido!

MK4