¡Se me abren otras páginas! go.google.com

Si tu ordenador presenta alguno de los siguientes síntomas:

Puede que estes sufriendo la infección de algún malware, ya que estas (entre otras características) son bastante frecuentes en los llamados virus BHO (Browser Helper Object).

¿Qué es un BHO?

En realidad, los BHO no son virus. Son (como su nombre indica) objetos que funcionan a modo de complemento para el navegador web, generalmente apoyandose de la tecnología ActiveX (lo que hace fuertemente vulnerable al navegador Internet Explorer) pero sin embargo, no el único, ya que los virus comienzan a tener en cuenta también otros navegadores como Mozilla Firefox.

Métodos de infección

Las vías de infección suelen ser muy variadas: desde lo más simple posible (supuestos ficheros descargado de redes P2P, supuestas fotos en mensajes de MSN Messenger, email con adjuntos infectados, etc...) hasta métodos más minuciosos y avanzados (a través de un complemento ActiveX, aprovechando alguna vulnerabilidad conocida de algun navegador, etc...). Por lo cuál, se puede ser infectado por cualquiera de estos últimos métodos sin detectarlo.

Por si fuera poco, estas amenazas conocidas como spyware o malware, muchas veces no son detectados por los antivirus, ya que o son demasiado nuevos o simplemente no figuran en las bases de virus.

Acciones realizadas

De hecho, hace poco me he encontrado con uno de los más cuidado en detalles ya que realizaba las siguientes acciones:

• Algunos buscadores como Google o MSN funcionan correctamente, pero modifican alguno de sus resultados para que redireccione a páginas diferentes de las que realmente son. Usualmente mostrando redirecciones a go.google.com o go.msn.com.
• El virus bloquea cualquier página que tenga como título palabras como virus, troyano, trojan o spyware (entre otras) mostrando una falsa simulación de página de error (no disponible).
• Si intentamos acceder vía terminal o símbolo de sistema (cmd) para observar los archivos del virus y eliminarlos, éste los oculta de forma que estén invisibles:

• Ciertos antivirus (como por ejemplo NOD32, Kaspersky o Panda Antivirus) a día de hoy no detectan absolutamente nada. Ni siquiera siguiendo la guía para eliminar spyware de nuestro PC se consigue eliminar, ya que Spybot - Search Destroy parece ser totalmente inefectivo. NOTA: Este punto supongo que será cuestión de tiempo, pero de momento la situación es la mencionada.
• El malware no aparece con ninguna de las herramientas tradicionales para eliminar malware como Hijackthis, un visor de elementos ejecutados al iniciar Windows, aplicaciones ejecutadas desde rutas comunes del registro de Windows, etc.

No obstante, continuan con una serie de pautas identificables de ciertos virus: se ejecutan con nombre de procesos de windows (svchost.exe, Isass.exe, etc...), casi siempre se guardan en la carpeta C:\Windows\system32, etc. Sin embargo, los BHO se caracterizan por utilizar ficheros DLL (bibliotecas dinámicas) en lugar de ejecutables. Varios nombres utilizados por estos virus son los siguientes:

• C:\WINDOWS\system32\tdssadw.dll
• C:\WINDOWS\system32\tdssl.dll
• C:\WINDOWS\system32\tdssserf.dll
• C:\WINDOWS\system32\tdssmain.dll
• C:\WINDOWS\system32\tdssinit.dll
• C:\WINDOWS\system32\tdsslog.dll
• C:\WINDOWS\system32\tdssservers.dat
• C:\WINDOWS\system32\drivers\tdssserv.sys

E incluso modificando ciertas claves del registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
• HKEY_LOCAL_MACHINE\SOFTWARE\tdss

Como eliminar el malware

Todo este conjunto de características hacen de esta, una amenaza compleja de eliminar. Existen varias utilidades que pueden ayudar, sobre todo a los más inexpertos, a eliminar el BHO. Una de las que mejores resultados ha dado es Malwarebytes Anti-Malware, un sencillo y efectivo programa:

Aún así, por si tampoco nos ayudara esta aplicación, repasemos las mejores alternativas, exceptuando las de la guía para eliminar programas espía, que también puede funcionar en algunos casos:

11-09-2008