AVISO a todos los incautos usuarios de
Windows que pasean sus
Pendrives de un ordenador a otro en la Universidad.
Se ha detectado la presencia del
virus RECYCLER campando a sus anchas por el campus. Este virus, aunque no es muy destructivo, si es muy molesto y puede causar serios problemas en los dispositivos de memoria Flash y otros dispositivos USB.
El mayor
foco de infección que conocemos es la
copistería de Química aunque probablemente todas las demás también estén infectadas. Mucho ojo con dónde metéis vuestro Pen sin protección.
Este virus es
INDETECTABLE e INDESTRUCTIBLE por la mayoría de los antivirus. El método de infección es muy simple, utiliza la vulnerabilidad de Windows para auto ejecutar el archivo autorun.exe de cualquier unidad extraíble. Engaña a los usuarios generando un archivo llamado cftmon32.exe (ojo no es ctfmon32.exe) y asegurando su ejecución en memoria lo mete en la ejecución de inicio de programas en Windows.
El engaño consiste en cambiar de lugar las letras “tf” a “ft” por lo que el sistema cree que es un archivo de origen valido de Windows, ya que es poco perceptible este movimiento.
Una vez generado el engaño se pasa por el arco del triunfo todo antivirus y posibles herramientas de malware e incluso a algunos usuarios expertos que creen que es un proceso válido de Windows, para así infectar todo dispositivo extraíble y propagarse.
Solo el
antivirus NOD32 ha demostrado su eficacia para detectarlo y eliminarlo pero hay otras formas de hacerlo. Lo más importante es que el virus está oculto y hay que cambiar los permisos para poder verlo. Por otra parte,
no puede eliminarse mandándolo a la papelera de reciclaje porque se copiará de nuevo. Podéis ver métodos de eliminarlo en
http://es.kioskea.net/forum/affich-4872-virus-recycler o buscando en Google.
Ojo también para los usuarios de
Linux. Aunque es más difícil que este virus infecte al equipo debido a la protección frente a auto ejecutables, si lo habéis copiado entonces hay que eliminarlo.
Esto se puede hacer
cambiando los permisos y editando (cambiando o borrando algunas letras de lo que tiene escrito) el archivo
Desktop.ini que contiene la carpeta
Recycler/S-1-5-21-0165222853-5059088641-677363363-6423\ (estos números pueden variar en cada caso) En güindous en una ventana de comandos.
1. Entrar en C:/RECYCLER y ejecutar
dir /apara ver las carpetas ocultas y del sistema y localizar la susodicha bicha.
2. Cambiar atributos
attrib -h -r -s S-1-5-21-0165222853-5059088641-677363363-64233. Luego
renombrar las demás carpetas.
ren S-1-5-21-0165222853-5059088641-677363363-6423 nombrenuevoDe esta forma el virus no puede autorreplicarse y lo podéis eliminar borrándolo.
4. Para tomar precauciones, se puede aditar el autorun.inf , primero cambiando atributos y luego con el comando
edit autorun.infSe abrirá una ventana de edición. Bastará con borrar o escirbir algunas letras.
5. Para borrarlo, con
del autorun.infy luego borrar la carpeta S
-1-5-21-0165222853-5059088641-677363363-6423 (ya renombrada) conrmdir nombrenuevoEsto mismo puede hacerse para eliminarlo de un Pen infectado.
Tened cuidado, pequeños padawancillos, y cuidad de la salud de vuestros Pen...s