Antiviruz

Señores buenas tardes, lamento no haber podido responder todos los correos que me escriben, agradezco también todos sus aportes, comentarios, sugerencias y agradecimientos.

Hace varios días he recibido pedidos referentes a un virus que también se propaga por medio de unidades de memoria USB que crea una carpeta que se llama RECYCLER, desde la cual se ejecuta. Agradezco a varias personas que me enviaron muestras del mencionado virus.

En este momento son las 13 horas y estoy en mi trabajo. He estado tan ocupado en lo referente a mi trabajo y a mis estudios que bueno, trato de seguir en contacto con ustedes y ayudándolos en lo que pueda.

Archivo matavirus subido el 17-06-08. Fase Alfa

Nota 17/06/08 : El matavirus Recycler lo he probado en 25 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB. Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, lamento no poner imágenes del análisis que hice en este momento.Este virus tiene las siguientes características:

1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013

y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.

2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}

StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”

4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:

[autorun]

open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

icon=%SystemRoot%\system32\SHELL32.dll,4

action=Open folder to view files

shell\open=Open

shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

shell\open\default=1

5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.

Eliminación manual:Señores, como le comenté estoy aprovechando un tiempo aqui en mi trabajo y lo escribo de a pocos puesto que no creo que a mi jefe le guste ver que no estoy haciendo lo que me encomendó. Así que por el momento les doy la solución manual para deshacernos de este bicho. Más tarde haré un script que automatice este proceso. Espero comprendan. Aquí van los pasos:

1. Abrir una consola de comandos (cmd.exe)

2. Finalizar el proceso del explorador (explorer.exe):

taskkill /f /im explorer.exe

3. Tipear:

cd\\Recycler

4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:

attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013

5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:

ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa

6. Abrir el explorador de windows tipeando en la consola:

explorer.exe.

7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Señores, sé que muchos no están familiarizados con la consola de comandos, y es por eso que más tarde cuando regrese de la Universidad haré un script que automatice el proceso.

Escribo este post de manera rápida para que los que me pidieron ayuda sobre este tema sepan que tomé en cuenta sus peticiones, tal vez no tan rápido pero siempre trato de ayudarlos a todos. :DBueno, debo salir a almorzar a casita.

Saludos,

Felipe

Lo primero es configurar el sistema para que por defecto

nos muestre los archivos y carpetas ocultos.

En el explorador de windows hacemos clic en herramientas y

luego clic en opciones de carpeta.

Si no aparece la barra de menu, debemos presionar antes Alt + v

Luego hacemos clic en la pestaña "Ver"

Desplazamos con cuidado la barra lateral hacia abajo y en

el menu de la izquierda buscamos la opcion

"Mostrar

...