viernes, 10 de junio de 2011

Me quieren infectar!

Enciendo el portátil en mi casa, arranca Windows 7, se conecta a la red Wi-Fi, abro el navegador, se abre la página de inicio y ZAS:

fake

www.google.es me dice que para entrar a su página web debo actualizar el navegador. Que extraño…si Google Chrome se actualiza automáticamente, y aun así ¿www.google.es iba a mostrarme ese mensaje tan rádical “o actualizas, o no entras”? Y ese título de la página web tan cantoso: “WARNING!!!”…todo muy raro.

Por curiosidad pulso el botón “Browser update” y se descarga un ejecutable de 58 kbytes llamado “update.exe”, sin icono. Sería mas normal que una actualización se llamase algo como GoogleChrome_Update_11.231.exe y que el ejecutable tuviese el icono de Google Chrome, ¿no?

A estas alturas ya estoy seguro de que hay gato encerrado y que ese ejecutable no es ninguna actualización de Chrome, me la quieren colar…¿Por qué!!?

Pruebo a abrir otras páginas y en todas sale el mismo aviso. Lo intento con Internet Explorer y lo mismo, ¿qué demonios pasa?

Hago ping a www.google.es:

ping

Después hago ping a www.marca.com y la misma IP, todos los dominios me responden con la IP: 188.229.88.8. Abro esa IP en el navegador, http://188.229.88.8/, y veo el mismo mensaje que me salía al principio.

Parece claro que el problema es que mi servidor DNS resuelve todos los dominios con esa IP. ¿Se habrá vuelto loco?

Veamos que servidor DNS estoy usando: ipconfig /all

dnsvafanculo

Mi router tiene la dirección 192.168.100.254 y él mismo hace de servidor DHCP y de servidor DNS, como es normal en los router domésticos. Pero ahí me dice que el servidor DHCP es la 100.13 y el DNS es la misma IP que me salía antes al resolver cualquier dominio :S

Me desconecto de la red Wi-Fi y me vuelvo a conectar (típica solución a todos los problemas informáticos, reconectar, resetear, reiniciar, etc…), vuelvo a mirar la configuración de mi tarjeta de red y sorpresa:

dnsok

Todo está perfecto. Pruebo a conectarme a algunas páginas y todo bien.

Ahora que funciona internet aprovecho a subir la supuesta actualización a VirusTotal para ver que dicen los antivirus al respecto. 23/42 antivirus lo detectan, definitivamente es un malware. Aunque los antivirus no se ponene muy de acuerdo, 4 de ellos lo llaman Gen.Variant.Kazy.

Pruebo a reconectarme varias veces para ver si vuelve a salir el mensaje pero nada. ¿Cómo han aparecido esos valores ahí? ¿Mi equipo está infectado? ¿El router se ha vuelto loco temporalmente?

En la siguiente entrada lo veremos.

Pd: Como curiosidad fijaos que la estética de la página está calcada al aviso de sitios maliciosos de Firefox:

9 comentarios:

  1. Seguramente te habrás conectado a una red Wifi que no es la tuya (pero con su nombre). Phishing de wifis jejeje.

    Saludos.

    ResponderEliminar
  2. Podría ser, pero en este caso es otra cosa, ya verás ;)

    ResponderEliminar
  3. O que alguien se ha colado en tu red, ha puesto a funcionar un servidor dhcp que ha definido un gateway que hace de man in the midle ... cambia las keys de la wep, o mejor aun pasate a wpa2 y activa el filtrado de MACs

    salu2

    ResponderEliminar
  4. Uso WPA2. No es que se hayan colado en la red, el problema es de dentro de la red. Un virus en el ordenador de una de las personas con las que comparto la red.

    ResponderEliminar
  5. Vas a seguir el articulo??

    Esta interesante! jaja

    ResponderEliminar
  6. Muy buena experiencia si hubiera sido otra persona había caído.

    Muchas gracias por compartir tu gran experiencia.

    ResponderEliminar
  7. Jaja, ha estado majo todo tu artículo, los dos me han gustado, buenísimo pues creo que yo hubiese llegado al mismo lugar pero quizás dando un poco más de vueltas, ahora ya cogo más pericia para esto, me ha gustado amigo THOR, TODO, tus comentarios entre paréntesis, tu deducción, parecía una historia al estilo "Atrapa al ladrón".

    ResponderEliminar
  8. sorry por el "cogo", debería decir "cojo" de cojer... jajaja

    ResponderEliminar