miércoles, 5 de diciembre de 2007

El Pan de cada día: Tras hacer login en máquina windows, esta se apaga

Panadero: Alex XTR.

Descripción: Menudo susto se llevó Alex el otro día. Crea una VM con windows 2003, la mete en el dominio.... y, de repente, la VM se apaga. No, no es un reset. Directamente hace un power off. Virtual Center reporta un power off en su línea de status. Alex vuelve a recrearla, y al logearse sin meterla en el dominio, la VM se comporta normalmente. La mete en el dominio, y vuelve a pasar lo mismo.

Acciones diagnósticas: Evidentemente, comenzamos a diagnosticar ESX, Virtual Center... y por último, la VM. Paralelamente, alguien nos indica que ha aparecido en otras máquinas físicas un virus, el W32/Almanahe.c. El chequeo de las VM no es posible, ya que se apagan. Montamos el vmdk infectado como disco F: de otra VM con antivirus, y... voilá... aparece el bichito en cuestión.

Solución: Pues lo dicho... montar los discos infectados en máquinas con antivirus y limpiarlo. Parece que el bicho es pelín persistente ya que le dá por infectar archivos del sistema. Nosotros acabamos con él usando McAfee 8.5

Links de referencia: W32/Almanahe.c

Conclusión: Vamos, si esto es un feature de ESX, la verdad es que es pelín extremado.

2 comentarios:

XTR dijo...

Curioso virus, aunque al final el método del "hard disk switching" se mostró efectivo, parece que solo se conseguía limpiar si esperabas a que el efecto del virus apagara la máquina. (si limpias el disco ANTES de shutdown, el antivirus detecta una sola dll, si limpias DESPUES del shutdown, detecta 4 copias de la dll sobre la misma ruta entonces ya parece que permite una limpieza correcta). De todas formas este método ya era conocido por algunos en entornos fisicos, y solo puedo añadir, que Dios bendiga la virtualización, más de uno se ha quedado con un server sin arranque después de jugar a mover discos entre máquinas físicas, y mas si no eran idénticas del todo, o si estaban pinchadas a las "controladoras raid del terror" (esas que como muevas el disco de sitio, ya puedes matarte para que los reconozca). Este caso en concreto nos trae al frente el problema de los virus con tecnicas de rootkit y polimorfización.

XTR dijo...

El virus parece que tiene una tecnica de injection en los exe que va arrancando, el primero explorer, parece que afecta al ejecutable de las vmtools, así que en el entorno virtual, además se nos dió el caso de que un arranque seguro, al invocar explorer, también resultaba en un shutdown, eliminando la recomendacion de mcfee para este virus, que es la de arranque seguro y usar el rootkit detector.

Bonita experiencia, sobre todo para tenerla en medio de una migración SQL (a virtual por supuesto)