Virus Win32.HLLW.Shadow.based No Permite Abrir Paginas de Microsoft.com y Otras

Cargado en Conocimiento, Seguridad on 13.sep, 2009

Soy de los que no usa antivirus residente en mi computador personal, pero eso no me excluye de poder infectarme, ya saben la curiosidad nos lleva a arriesgarnos mÃ¡s de la cuenta a veces. Recientemente tuve problemas al acceder a cualquier dominio de microsoft.com, por razones para ese momento desconocidas los navegadores que utilizaba, Firefox/Internet Explorer mostraban error pÃ¡gina al intentar acceder a estos sitios.

Mi primera sospecha fue hacia mi IPS (Cantv.net), por lo que intente navegar a travÃ©s de proxy siendo positiva la prueba, es decir podia abrir las pÃ¡ginas de Microsoft sin ningun problema, ante esta sospecha me dispuse a probar desde otra computadora con mi conexion, las pruebas igualmente fueron positivas lo que me lleno de total incertidumbre.

Ya empezaba a crecer en mi la sospecha de un malware o virus, por lo que recurri a mis herramientas basicas de siempre, Autoruns y Process, con lo que no consegui nada sospechoso. Se me ocurrio llamar a la pagina de microsoft directamente con su IP (65.55.21.250) lo cual fue positvo y me hizo confirmar que el problema era en el DNS, es decir al hacer la conversiÃ³n de host a IP algo estaba interfiriendo para evitar o cancelar este proceso. Mi siguiente paso confirmar esta sospecha a travÃ©s de un Trace Router (tracert) hacia la pagina de microsoft con lo que igualmente presentaba el error en el dominio. Ya confirmado de que se trataba de un virus, procedi a ejecutar a modo prueba de fallo y lanzar mi confiable y certera aplicaciÃ³n antivirus DrWeb Cure It la que me presento la alerta deÂ la presencia del virus Win32.HLLW.Shadow.Based, la cual es un derivado del Conficker.worn, Downadup y el Kido, en su forma de un DLL muy particular (INRYL.DLL) ya con ese nombre era de sospechar verdad!, hice una busqueda de informaciÃ³n sobre esa libreria en internet antes de eliminarla y descartar su asociaciÃ³n a algun programa, no consegui nada, pues respalde el dichoso archivo (MaÃ±as de encariÃ±arme de lo peligroso) y lo elimine del disco duro, conservandolo por alli en modo inofensivo.

Lo que si pude indagar es que este virus ingresa por un fallo en la seguridad del Windows (Oh! que raro verdad?) el cual puede ser resuelto aplicando los siguientes parches:

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-068.mspx

http://www.microsoft.com/latam/technet/seguridad/boletines/2009/ms09-001.mspx

MÃ¡s InformaciÃ³n del Virus:

http://pc-technic.blogspot.com/2009/01/how-to-delete-win32hllwshadowbased-warm.html

http://forum.drweb.com/index.php?showtopic=277240

Si necesitan informaciÃ³n adicional o tienen alguna duda, dejen su comentario!.

*** Si te ha sido de provecho el post puedes transmitir tu agradecimiento haciendo click en los anuncios google al lado derecho de la pantalla ***

Les recomiendo lean esto tambien: http://www.elviscortijo.com/2009/11/25/saber-si-estas-infectado-con-el-conficker-on-line-en-linea/

Comments (1)

One Response to “Virus Win32.HLLW.Shadow.based No Permite Abrir Paginas de Microsoft.com y Otras”

Blog-de-Elvis-Cortijo-Virus-Win32HLLWShadowbased-No-Permite-Abrir-Paginas-de-Microsoftcom-y-Otras : Sysmaya Says:
septiembre 16th, 2009 at 10:45 AM
[...] Articulo Indexado en la Blogosfera de Sysmaya Soy de los que no usa antivirus residente en mi computador personal, pero eso no me excluye de poder infectarme, ya saben la curiosidad nos lleva a arriesgarnos más de la cuenta a veces. Recientemente tuve problemas al acceder a cualquier dominio de .. [...]