jueves, 26 de marzo de 2009

VIRUS RECYCLER

AVISO a todos los incautos usuarios de Windows que pasean sus Pendrives de un ordenador a otro en la Universidad.

Se ha detectado la presencia del virus RECYCLER campando a sus anchas por el campus. Este virus, aunque no es muy destructivo, si es muy molesto y puede causar serios problemas en los dispositivos de memoria Flash y otros dispositivos USB.

El mayor foco de infección que conocemos es la copistería de Química aunque probablemente todas las demás también estén infectadas. Mucho ojo con dónde metéis vuestro Pen sin protección.

Este virus es INDETECTABLE e INDESTRUCTIBLE por la mayoría de los antivirus. El método de infección es muy simple, utiliza la vulnerabilidad de Windows para auto ejecutar el archivo autorun.exe de cualquier unidad extraíble. Engaña a los usuarios generando un archivo llamado cftmon32.exe (ojo no es ctfmon32.exe) y asegurando su ejecución en memoria lo mete en la ejecución de inicio de programas en Windows.
El engaño consiste en cambiar de lugar las letras “tf” a “ft” por lo que el sistema cree que es un archivo de origen valido de Windows, ya que es poco perceptible este movimiento.
Una vez generado el engaño se pasa por el arco del triunfo todo antivirus y posibles herramientas de malware e incluso a algunos usuarios expertos que creen que es un proceso válido de Windows, para así infectar todo dispositivo extraíble y propagarse.

Solo el antivirus NOD32 ha demostrado su eficacia para detectarlo y eliminarlo pero hay otras formas de hacerlo. Lo más importante es que el virus está oculto y hay que cambiar los permisos para poder verlo. Por otra parte, no puede eliminarse mandándolo a la papelera de reciclaje porque se copiará de nuevo. Podéis ver métodos de eliminarlo en http://es.kioskea.net/forum/affich-4872-virus-recycler o buscando en Google.

Ojo también para los usuarios de Linux. Aunque es más difícil que este virus infecte al equipo debido a la protección frente a auto ejecutables, si lo habéis copiado entonces hay que eliminarlo.

Esto se puede hacer cambiando los permisos y editando (cambiando o borrando algunas letras de lo que tiene escrito) el archivo Desktop.ini que contiene la carpeta Recycler/S-1-5-21-0165222853-5059088641-677363363-6423\ (estos números pueden variar en cada caso) En güindous en una ventana de comandos.

1. Entrar en C:/RECYCLER y ejecutar
dir /a

para ver las carpetas ocultas y del sistema y localizar la susodicha bicha.

2. Cambiar atributos
attrib -h -r -s S-1-5-21-0165222853-5059088641-677363363-6423

3. Luego renombrar las demás carpetas.

ren S-1-5-21-0165222853-5059088641-677363363-6423 nombrenuevo

De esta forma el virus no puede autorreplicarse y lo podéis eliminar borrándolo.

4. Para tomar precauciones, se puede aditar el autorun.inf , primero cambiando atributos y luego con el comando

edit autorun.inf

Se abrirá una ventana de edición. Bastará con borrar o escirbir algunas letras.

5. Para borrarlo, con

del autorun.inf

y luego borrar la carpeta S-1-5-21-0165222853-5059088641-677363363-6423 (ya renombrada) con

rmdir nombrenuevo

Esto mismo puede hacerse para eliminarlo de un Pen infectado.

Tened cuidado, pequeños padawancillos, y cuidad de la salud de vuestros Pen...s

No hay comentarios:

Publicar un comentario