Muchas veces al insertar una memoria USB me he encontrado con un par de archivos extraños que podrían hacer algo malo si yo tuviese Windows. Uso Linux y por lo tanto esa preocupación no la tengo y no me preocupo por instalar antivirus ni nada por el estilo. Uno de estos archivos es un autorun.inf, asi como tambien existe una carpeta llamada RECYCLER, que aparentemente en windows no son visibles a menos que tengamos activada la opción de “ver archivos ocultos (incluyendo los de sistema)”
Nuestro amigo de MyGeekSide nos da un análisis completo sobre estos archivos extraños (al parecer un virus que es capas de estar oculto a nuestros ojos y poder conectarse a Internet si nuestro consentimiento), asi como nos muestra la manera de eliminarlo a manita.
Eliminación (extracto de mygeekside)
- Abrir una consola de comandos (cmd.exe)
- Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe- Tipear:
cd \Recycler- Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013- Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa- Abrir el explorador de windows tipeando en la consola:
explorer.exe.- Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.
Enlace:
by: lesthack
11 Comments
Hey, excelente aporte, me habia dado algo de lata este virus en una maquina que recien se lo quite, graxx, necesito un poco de ayuda no se si has oido del virus “” winessentials “” que muchos de los antivirus no lo detectan, el unico que me lo detecto fue kasperksy, y investigando sobre el virus, baje un programita, pero X no paso nada sigue, ahi, ya lo intente quitar el con regedit y eliminarlo, y segun lo borro y todo, pero 2 dias despues regresa, y pues la persona que lo tiene esta desesperada jajajajaja,, pero igual si puedes aportar algo al respecto en verdad lo agradeceria
bye
Bien, pues, no había oído hablar del virus, pero, dinos las características que tiene, envíalo en un zip.
Has intentado borrarlo del msconfig?, del registro dices que si, pero si no borras el ejecutable, este se restaura cuando reinicias y lo vuelve a ingresar al registro. Intenta crear otro usuario, este usuario estará libre por así decirlo del virus por que aun no has iniciado con el, reinicia en modo a prueba de errores, ingresa con el nuevo usuario que creaste, ve al registro, elimina la entrada casi siempre esta en Run, pero, fíjate donde se encuentra el ejecutable y por consola ve y eliminalo, también eliminalo del msconfig por si las dudas. Reinicia y su el virus vuelve, esto quiere decir que existe(n) un respaldo(s) de este que hasta no eliminar todos no podrás deshacerte de el.
Esperamos respuestas pronto
Hola de nuevo pues mira efectivamente como decias el virus tambien lo quite con el msconfig porque aparece ahi, y despues de quitarlo use el regedit y segun esto lo borre el virus de todos los lugares donde estaba alojado , y pues siguiendo investigando el virus se llama Trojan-Dropper.Win32.Delf.amu(winessentials.exe), ahora tratare con la opcion que me diste, de crear un nuevo usuario entrar en modo a prueba de fallos ( en teoria jajaja)
Lo que hace el virus es que crea un archivo llamado nircmd.exe se autocopia en lasunidades q inserto, crea una carpeta que tambien se autocopia llamada wynsistem y finalmente el archivo este winnesentials y pues son los datos que tengo por el momento. ( pero ps no se deja quitar jjejeejje )
Me comentaron de ElistarA voy a probar y obvio la opcion que me diste, como quiera pase lo que pase por aqui te lo ago saber
graciasssssssss!!!!!!!
Hola,
Como ya he puesto en el blog de Felipe, eliminar la carpeta es fácil, sólo se tiene que presionar las teclas mayúsculas y sin soltar luego suprimir, luego confirmar. También se puede hacer con un Live CD como el de Ubuntu.
El problema es que se queda en memoria e incluso aguanta una eliminación de la partición del disco duro y una reinstalación, por lo que hasta que no se elimine de la memoria da igual que se borre la carpeta.
A ver si alguien que sepa bastante crea un archivo para desinfectarlo, el virus tiene variantes, así que lo mejor sería eliminar la carpeta manualmente y luego ejecutar el archivo para eliminar el virus de la memoria. El registro ya se limpiará con algún limpiador de registros como el Regseeker pero lo interesante sería poder eliminar de la memoria el virus.
En mi caso tengo varios discos duros y se propaga a todos el maldito virus, aguanta una reinstalación eliminando la partición y todo y además no lo detecta ningún antivirus y se queda residente en memoria. Espero que al tipo que lo creó le caiga un rayo en la cabeza.
Para finalizar, decir que aunque elimines la partición e instales el Windows XP Pro SP3 el virus no se elimina, y con Ubuntu el virus no afecta pero sigue residente, cuando instales XP de nuevo ahí sigue.
Un saludo.
Wow, poderoso virus!, casi indestructible. O no? Por lo que entendí tenemos estos escenarios:
1.- Se podría borrar la carpeta manualmente, pero el virus quedaría residente en memoria. Si se reinicia el equipo después de esto el virus volvería a aparecer.
2.- Se podría iniciar desde un liveCD, borrar la carpeta manualmente, pero el virus quedaría residente en memoria. Si se reinicia el equipo después de esto el virus volvería a aparecer.
3.- Se podría borrar la partición, pero el virus quedaría residente en memoria. Si se reinicia el equipo después de esto el virus volvería a aparecer.
4.- Se podrían borrar todas las particiones del disco duro, pero el virus quedaría residente en memoria. Si se reinicia el equipo después de esto el virus volvería a aparecer.
5.- Se podría reinstalar el sistema operativo, pero como el virus estaba en memoria volvería a infectar al nuevo sistema.
Por el escenario 2, pienso que es un virus multi-plataforma, me explico, cuando un sistema Windows inicia, este carga los procesos/servicios que tiene indicado por medio del msconfig o en el regedit. Cuando este sistema es infectado, el programa malicioso agrega una entrada en estos programas (msconfig, regedit) para que cada que el sistema inicie, o suceda una acción que interesa al programa malicioso, este responda y pueda infectar, reproducirse o hacer algo más. Si iniciamos la máquina desde
un sistema operativo no Windows, la secuencia de inicio de este no se ejecuta por tanto el virus no debería ejecutarse ya que no esta corriendo en el sistema que lo deja iniciarse, a menos claro que pueda distinguir entre diversas plataforma y dependiendo de ello ejecutar parte de código especifico. Esto lo creo improbable, aunque hay pruebas de concepto de que esto podría ser posible. Estaríamos frente a un programa que puede acceder a partes especificas de dos sistemas operativos diferentes y tomar decisiones dependiendo de ello. No creo que esto sea nuestro caso.
Se haga lo que se haga, el virus siempre queda residente en memoria, esta es otra de las cosas que
entendí, entonces, creo, que esta aprovechando una vulnerabilidad no del sistema operativo, sino del
BIOS. Podrías probar a actualizar el BIOS y/o los firmware de los diversos periféricos que tengas.
Aunque se borre la partición donde se encontraba el archivo infectado, y se reinstale el sistema, el virus continua. Podrías probar a hacer un formateo del disco completo o de la partición únicamente con una herramienta que no sea la que trae el disco de windows, digo para evitar que por ahí el virus sobreviva.
Ejemplo, GParted.
En todos los posibles escenarios que puede imaginar siempre aparece como actor principal la RAM, la RAM siempre tiene contenido (siempre que la computadora este conectada a la corriente eléctrica), este contenido es el ultimo que tuvo antes de apagar la computadora. Por tanto, lo primero que se me ocurre es que pruebes con un programa para eliminar el contenido de la RAM justo antes de que apagues la computadora. Con esto el contenido de la RAM y el virus incluido serán sobrescritos por datos aleatorios, con esto se logra el borrado.
Les dejo algunos enlaces interesantes sobre la RAM y la duración de su contenido una vez desconectada de la corriente eléctrica.
Enlaces:
http://www.kriptopolis.org/se-borran-realmente-los-datos-de-la-memoria-ram
http://www.kriptopolis.org/memoria-residual-permite-violar-cifrado-disco
http://www.kriptopolis.org/el-ataque-del-frio
http://citp.princeton.edu/memory/
Bien, debido a la respuesta de Anónimo y el comentario de mi compañero Nick, esta es mi opinión.
Según anónimo dice que si se borra el virus del registro de windows, de cualquier manera el virus vuelve.
Mi respuesta: Si se ha eliminado del registro de windows, no será suficiente para exterminar el virus, es decir, solo borramos la entrada, que se crea de nueva cuenta cuando accedemos a alguna carpeta infectada.
Según anónimo dice que si iniciamos con un liveCD y eliminamos la carpeta no funciona.
Mi respuesta: iniciar con un liveCD (Linux) implica que nuestras particiones se monten dependiendo el sistema de archivos, en caso de Windows XP casi siempre es NTFS, por lo tanto, tendríamos que modificar los permisos de la partición ya que al ser NTFS la monta en modo de solo lectura, cambiándolos a escritura también. En cuanto a borrar la carpeta, esta podría volver a crearse al iniciar windows debido que el virus puede estar en mas de algún lugar de nuestros archivos.
Según anónimo el virus queda residente en memoria.
Mi respuesta: ¿En que memoria queda residente?, bien, en RAM no podría, es volátil, esto quiere decir, que al apagar el sistema los datos se pierden. Y si bien los datos no se borran del todo de la RAM, al iniciar el sistema operativo no seria capas de interpretar el contenido y no lo toma en cuenta.
Existen virus que se aprovechan del la INT 21h para escribirse ahí, pero esto implicaría cargar el sistema operativo (windows sin duda) y después de ahí infectar archivos (como los exe o com, etc).
Infectar el BIOS me parece una labor demasiado tediosa, ya que esta en ROM, es decir, en memoria de solo lectura, aunque en la actualidad la mayoría de los chips BIOS son EEPROM Flash ROM, los cuales pueden ser modificados con un simple programa y como lo dice nick, pueden probar actualizar su bios en dado caso para salir de dudas (cosa que no se los recomiendo).
Mi consejo, prueba formatear tu disco duro a bajo nivel, esto es parecido a formatear el disco duro como si fuese de fabrica, existen herramientas muy buenas como las del Hiren’s Boot, que nos permiten hacer estas labores. No insertes discos, disquetes, memorias, etc, que hayas utilizado en tu computadora anteriormente, esto evitara infectarnos de nuevo, lo siento, si tienes datos importantes, tendrás que olvidarte de ellos, o simplemente, cambia a Linux.
Ola brothers
Pues bueno, gracias por los aportes, pero ya pude quitar ese nefasto virus.
Use esta utilidad EliStarA
es una utilidad bastante buena la verdad, porque solo ejecutas el programa, y hace lo demas solo, y pues por si las dudas al acabar de ejecutarlo, cheque en el registro y con el msconfig y adios al virus , aqui les dejo el enlance espero que les sirva.
Cabe destacar que este programita se esta actualizando constantemente, porque yo use la version 16.24 y ahorita creo va en la 16.30, como sea, aqui les dejo el enlace porsi les sirve
http://www.zonavirus.com/datos/descargas/78/EliStarA.asp
Que tal, saludos a todos! me es interesante los comentarios que hacen a este post, aunque asi se meciona la fuente original, deberian de hacerle esos tan interesantes comenctarios al verdadero autor, a mi parecer esto es un plagio, cuando se hace un post tomado de otro lugar se debe de hacer una pequeña reseña y redireccionar al post original, no copiar su contenido tal cual, vaya, entren a mygeekside.com, no es el primer analisis que realiza..
bueno como sea, saludos!!
papa: plagio no le encuentro, desde un principio la publicación del post dice “Nuestro amigo de MyGeekSide nos da un análisis completo sobre estos archivos extraños..” por lo que debes saber somo seguidores de mygeekside.com, por eso se le da referencia a su blog, el fragmento que se tomo dice claramente “Eliminación (extracto de mygeekside)”(aqui se hace referencia al post original), así que deberías leer bien las cosas antes de decir algo, no es lo mismo “pensar lo que dices” que “decir lo que piensas”.
existe un metodo livekaspersky ejecuta el antiviruz sin necesidad de entrar al S.O aunque yo e eliminado ese viruz con ayuda del programa unlocker. que es un programa que sirve para desbloquear las memorias cuando esta se ponen sus huevos y no se quiere espulsar, lo que hace este programa es que elimina procesos,
para eliminar el viruz estos pasos son lo siguentes entras ala terminal entras al directorio raiz
C:\ escribes el para comando attrib C:\ attrib y apareceran todos los archivos que tienen atributos entre ellos aparecera el latoso autorun.inf le quitas el atributo como lo menciono lesthack attrib -h -r -s autorun.inf lo editas ahi aparecera el nombre del del molestoso viruz ahora ; ahora con el comando find busca el viruz por lo genaral se mete en system32 y system y si no aveces te dan la ruta el mismo archivo del autorun una vez localizado el el viruz procedemos a quitarles el atributos attrib -h -r -s “nombre del mendigo viruz” ahorra lo eliminas pero te va mandar un e mensaje que el programa esta usado por x proceso ahi es donde entra el programa unlocker abres el programa y va a quedar registrado que programa esta utilizado el viruz asi que le das terminar proceso y listo ahora si lo eliminas. a se me olvidaba lo eliminas de c:/ tambien con todo y su autorun recuerda tienes que quitarle sus atributos.
@d3str1pad0r si, lógicamente encontrando el virus podemos eliminarlo primeramente terminando el proceso que lo utiliza, quitándole los atributos de lectura, sistema y oculto, aunque yo recomendaría iniciar el sistema con el mínimo de servicios para así, evitar cargar el servicio que el virus podría iniciar y ahora si, borrar todos aquellos archivos que fueron clonados por el virus.