Spybot confunde Restaurar Sistema con un troyano  

Fecha Lunes, 25 de agosto de 2008 - 23:30

Esta mañana he pasado el antiespías Spybot Search&Destroy a mi PC. Hacía bastante que no lo escaneaba con él. Normalmente el único malware que me encuentra es Win32.RAdmin.Zenworks, correspondiente a un programa de control remoto de PCs que tengo instalado a sabiendas y con mi consentimiento, así que paso de eliminarlo.

Pero hoy me ha encontrado algo llamado Hupigon13, un troyano según Spybot. Aquí podéis ver la captura con la ubicación del bicho (una referencia en la clave de Servicios del Registro al archivo %SystemRoot%\system32\DRIVERS\sr.sys, aparentemente un driver virtual imprescindible para usar Restaurar Sistema en XP). Traduzco la descripción ofrecida por Spybot S&D:

Hupigon13 copia un ejecutable y sus librerías en las carpetas raíz y de Windows. Se esconde a sí mismo como “kauupl” para ejecutarse al inicio del sistema, ejecuta sus archivos en segundo plano sin posibilidad para el usuario de cancelar el proceso. También cambia algunos programas como nod32.exe o regedit.exe para que se ejecuten en modo debug y guarda información interna y se inicia usando un archivo autorun.inf ubicado en el disco duro.

Para localizar el archivo supuestamente sospechoso, como dije antes, he ido a la clave de registro referenciada por Spybot en la detección (captura). Las propiedades del sr.sys son las siguentes:

Propiedades del archivo sr.sys que Spybot vincula al troyano Hupigon13

A todas luces es un archivo legítimo de Windows XP, cosa que he comprobado en otros dos ordenadores aparte de éste. Estamos sin prácticamente ningún género de dudas ante otro falso positivo, como el que arrojaba NOD32 cuando intentabas cargar un vídeo de Dailymotion hace unos meses.

Un aspecto que está generando confusión por lo que veo en algunos foros es que al borrar el supuesto troyano, al reiniciar el ordenador vuelve a aparecer. Esto es así porque sr.sys es un archivo de sistema importante para Windows, que si detecta que ha sido borrado, lo regenera a partir de la copia situada en la carpeta “anti-desaguisados” de Windows XP llamada dllcache.

2 comentarios en “Spybot confunde Restaurar Sistema con un troyano”

  1. Xavi dijo:

    jajaj
    Carpeta anti-desaguisados… me ha hecho gracia esa expresión xD
    Tu caso me ha recordado a lo que me pasó a mí hace 2 años. Escaneé todo el ordenador con el Panda Antivirus con la función ‘Heurístico’ activada a tope.
    Esta característica permitía detectar extensiones raras de archivos y eliminarlas de manera automática
    ¿Y qué hizo? pues se cargó ‘algún que otro’ archivo de arranque del Sistema operativo y al reiniciar el ordenador Windows ni aparecía. Se quedaba el pantallazo negro.
    Menos mal que metiendo el disco el sistema éste pudo restaurar los archivos base, pero menuda faena me hizo (y qué nervios pasé, no sabía si me tocaría formatear sin previo aviso)

  2. GatoVolador dijo:

    El Panda es la mayor basura que te puedas echar en cara :lol: Aún me arrepiento de los 30 y pico euros que tiré en un Panda Platinum hace 4 años. La cosa acabó en reinstalación forzosa; ni desinstalando el puto Panda volvió la estabilidad al ordenador.

Dejar un comentario

XHTML: Puedes usar las siguientes etiquetas para dar formato a tu comentario: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> . No olvides ser respetuoso y cumplir la netiqueta. Recuerda que tu comentario puede ser moderado si su contenido lo requiere. Gracias por participar.