Ayer por la noche estaba jugando tranquilamente al Warcraft III por internet, cuando de golpe primero el PC empezó a "rascar", me sorprendí bastante ya que con un XP 2800+ y 512 de RAM DDR400 es un pelin raro. Minimizo y salgo al Windows, y en esto que veo un monton de mensajes de error de net.exe, bueno, los cierro y sigo jugando pero el PC seguia "rascando" hasta que de golpe es la conexión lo que empieza a fallar. Empiezo a pensar en la posibilidad de un virus, ya que dias atras bastantes amigos tenian los mismos "sintomas", pero por otra parte no era posible!, ya que esa misma mañana había formateado el PC!, instalé los mismos programas, los mismos CD's al igual que otras veces. De todos modos instalo un antivirus, y nada, no detectaba nada, absolutamente nada, probe con varios pero ninguno. Intento acceder al "Administrador de tareas" o al "regedit", pero curiosamente se cerraba solo al momento. Bueno, empiezo a preguntar por el IRC a ésta gente y resulta que el "virus" en cuestion es un .exe llamado msmngr32.exe, me pongo a buskarlo y ¡eureka!, ahi estaba el hijo de puta, pero claro, lo inentaba borrar pero como esta en uso no podia. Asi que mirando mas por ahi, encontre una utilidad para ver los procesos que utilizan puertos TCP, y ahi estaba el cabron, los cierro todos ya que eran como unos 30 procesos bajo el nombre msmngr32.exe o msmsgri32.exe ... reinicia y parecia ir todo bien, pero hoy por la mañana la misma mierda. Sigo investigando y mirando web's, bueno total:
Segun parece ser, éste virus se va propagando por internet y se cuela en los PCs que con Windows XP o 2000 su cuenta de Administrador no tiene configurada ninguna password o bien tiene las password: 123, root, admin y algunas mas tipicas. Si pongo éste tema aquí, es porque una vez infectado con el virus, éste abre el puerto 445, 3330, 3331 y 3332, con los cuales empieza a scanear IPs semejantes a la tuya (por ej. si tu IP es 213.60.64.1, hace un scan desde 213.60.64.1 a 213.60.*.*), cuando encuentra un PC con las caracterísiticas anteriores (Win2k o XP y cuenta de administrador sin password o otras passwords tipicas, y con algo compartido como por ej. C$, IPC$, admin$), de algun modo se "infiltra" te afecta. El virus llega a crear hasta 60 procesos, de los cuales en la mayoria puede estar infectando otros PCs, es por eso que la maquina se ve saturada y la conexion lo mismo.
Puedo asegurar todo esto ya que cuando ejecuté el programa para ver los procesos que usan puertos TCP, en ellos había un ¡monton de IPs de R!, cuando lo vi pense que alguien con R se habia colao en mi PC, pero despues de mirar en muchas webs de antivirus era yo el que se colaba al igual que hicieron conmigo...
Es bastante curioso... ya que precisamente esto empieza a suceder justo despues de que nos hayan abierto los puertos... He llamado para ver si me los podian cerrar, pero no pueden, esperemos que en un futuro hagan algo.
Si quereis comprobar si estais infectados, buscar en vuestro sistema los siguientes archivos:
msmgr32.exe
msmsgri32.exe
sdgoije.exe
Y poner tb a buskar en el regedit el archivo "msmgr32.exe", ya que está por la parte donde se registra los programas que se ejecutan programas al iniciar el Windows.
Saludos :)