Son las 00:42h y acabo de llegar a mi casa despues de terminar una jornada de curro de cagarse gracias a Mydoom. Y sobre todo desde aqui quiero dar las gracias a ese gran usuario de mi empresa que encima es "sincero".
Si si, sincero. Pq cuando en el terminal te salta una alerta de "La maquina xxxxx, esta infectada bla bla bla, con el archivo message.zip blablabla...
Y consultas al usuario (recordemos que todo el mundo es inocente hasta que se demuestre lo contrario) no sin antes quitarle el cable de red, este te dice: "yo no he ejecutado nada, ademas ese correo yo no lo he abierto porque los correos de remitentes que no conozco no los abro.")
Esto...
Si...
Y UNA MIERDA!!!!
Pero vamos a ver, que sentido tiene ejecutar un documento adjunto de un mail que no tenemos ni puta idea de donde viene!!!!!????? Ademas teniendo como asunto o remitente algo que jamas nos haria pensar que ese mail nos lo ha enviado algun conocido. Deacuerdo que las direcciones pueden ser modificadas (es uno de los reclamos de los virus y puede despistarnos cuando ademas utilizan la libreta de direcciones de la maquina infectada) pero el asunto nos da siempre muchas pistas de la sorpresa que nos podemos llevar.
ASUNTO Y DIRECCION DEL CORREO INFECTADO QUE LLEGO A ESTE USUARIO:
De:
elosoyonki@yahoo.co.ur
Asunto: zxwdywb4uu1 (o algo asi)
Adjunto: message.src
Y...
LO ABRIÓ!!!! Y LO EJECUTÓ!!!
Tenia en el disco "taskmon.exe", tambien las dos .dll que te metia en system32 y por supuesto las entradas correspondientes en el registro.
Ha sido solo una maquina de las cerca de 490 que tenemos en la empresa.
Utilizamos ePolicy Orchestrator y McAfee Viruscan 4.5.1 para el area de seguridad de anti-virus.
Este equipo que se contagio fue porque Windows (el mayor virus evidentemente de todos) paro un servicio de McAfee (Vshield) y del ePoliciy (naimas32). El usuario recibio el correo y este no fue migrado a un buzon que tenemos para los archivos infectados y que no permite el acceso al usuario para que no lo ejecute precisamente.
En fin que al descubrir que este equipo habia detenido el servicio de escaneo hemos tenido que repasar in-situ cada uno de los equipos (la tension y la inseguridad de que hubiera mas equipos en esta condiciones era evidente). Desde las 9.30h (hora en la que se detecta) hasta las 00:00h, cinco personas hemos estado como cabrones entrando en todas las maquinas y chequeando que todo fuera ok.
Asi que en nombre de mis compañeros queremos agradecer a este usuario su inestimable estimulo que nos ha otorgado hoy para que el aburrimiento fuera una mera utopia...
Tambien queremos agradecer a Microsoft su gran compatibilidad con los virus que salen... Y por supuesto con la facilidad que cualquier script tonto que hagas sea capaz de escribir en el registro de Windows!!!
Por otro lado para que veais lo extendido que esta este Mydoom, hoy tenia en mi cliente de correo cerca de 800 notificaciones de intento de entrada de este virus en el sistema.
Que solo queria escribir estas lineas para desahogarme un poco con vostros y tambien para deciros que tengais cuidadooooo con lo que ejecutais en casa.
Y sobre todo si trabajas en una oficina con acceso a internet y correo, cortate un pelo, que esto de los virus esta muuuu jodio.
A este usuario le van abrir expediente sancionador, ya que los logs demuestran que evidentemente ejecuto un archivo adjunto de procedencia desconocida.
Puede parecer exgaerado pero donde trabajo (multinacional inglesa) cuando firmas el contrato, tambien firmas un documento de tratamiento de informacion donde te informan de las normativas de la empresa y entre ellas esta la del correo y su uso.
Con esto no defiendo a mi empresa ni mucho menos, simplemente deciros como esta el tema.
Por la parte que me ha tocado a mi pues me jode mucho que un tio haga que mi jornada laboral termine a las 00:30h en lugar de las 18:00h como es normal. Y encima te diga que no lo ha ejecutado... La policia no es tonta pelele!!!
Bueno voy a fumarme un par de tronchos y me voy a sobar.
Pero antes una partida al GhostHunter
Un saludo a tod@s!!!
![[angelito]](/images/smilies/nuevos/angelito.gif "angelito")
.... ¿es suficiente acaso cambiar la fecha del pc al 13 de febrero para que pueda respirar tranquilo (o por lo menos hasta que saquen un remedio) ? 
![[noop]](/images/smilies/net_thumbsdown.gif "Nop")
![[agggtt]](/images/smilies/nuevos2/infeliz.gif "uf")
