Actualmente no se puede tener una computador sin software contra los ataques de malware.
En un descuido mío la computadora donde trabajo se infectó con 2 troyanos que afortunadamente fueron identificados en el momento de la infección por Kaspersky Security Cloud Free que tengo instalado.
Una vez eliminados surgió un problema, cada vez que iniciaba el equipo y entraba a Windows salían dos mensajes de error asociados a scripts de Windows Script Hots:
No se encuentra el archivo de comandos "C:\Windows\system32\StartupCheck.vbs".
No se encuentra el archivo de comandos "C:\Windows\system32\Maintenance.vbs".
La obvia reacción inmediata fue buscar en las aplicaciones que gestionan qué programas cargan cuada vez que se inicia sesión en Windows. El antivirus había borrado a los troyanos pero algo seguía invocándolos.
Revisé sin éxito:
- La pestaña Inicio del Administrador de Tareas.
- El Editor de Registro de Windows.
- El Programador de Tareas de Windows.
- Utilitarios como Starter Setup o Autorun Organizer.
Aún no encontraba la ubicación de los archivos que borró Kaspersky.
He revisado un montón de páginas web buscando la solución al problema. Todos insisten en lo mismo, revisar la lista de aplicaciones que he revisado... excepto por revisar los Servicios de Windows.
Recordé que hace años atrás mi anterior computadora también tuvo una infección similar, mediante un par de servicios instalados entre los Servicios de Windows.
Lo que hacían ese par de servicios era cerrar el navegador Google Chrome todos los días a las 11 de la mañana y abrir un un clon del navegador. en el que obviamente los delincuentes informáticos buscaban que digitara mis contraseñas, datos personales y claves importantes.
Al final pude desactivar los servicios y borrar los archivos entrando desde el modo seguro.
Abrí el Administrador de Servicios y los ordené por descripción procurando identificar a algún servicio con nombre sospechoso. Lo ubiqué:
El servicio que se instaló durante la infección se llamaba AzureAttestService y no tenía descripción. El malware buscaba iniciar desde los servicios de Windows con el siguiente código:
C:\Windows\system32\svchost.exe -k AzureAttestService
El malware había intentado hacerse pasar por una aplicación vinculada a Azure de Microsoft.
Una vez desactivado no volvieron a salir los mensajes de error por los archivos borrados.
CONSEJO: Revisa periódicamente los Servicios de Windows, en especial las que no tienen descripción. El malware también puede disfrazarse de nombres de aplicaciones de programas populares.
Siempre que puedas, también habilita la autenticación por dos factores en los servicios web que utilices.