Se trata de un "script" (un comando), que te mueve todo el contenido del USB a una carpeta oculta que se llama "_" (barra baja) y te genera un acceso directo que, cada vez que lo "clicas", extiendes la infección por los equipos.
EN EL LÁPIZ USB (CUANDO UN LÁPIZ ESTA INFECTADO):
La "desinfección" pasa por volver a mover todo el contenido de esa capeta "_" al raiz del USB.
Para asegurarnos de que lo que hay en un lápiz USB no se pasa a un ordenador, mientras enchufamos el USB, mantén pulsada la tecla SHIFT del teclado (Flecha mayúsculas). El lápiz no se ejecutará, luego iremos al explorador de ficheros y accederemos a la carpeta (nunca deis un doble click, si no que despliega las carpetas)
Antes de nada debemos de asegurarnos de eliminar el Link que deja en el lápiz (borralo), pues si volvemos a clicarlo, volverán a desaparecer los ficheros y extenderse al pc donde hemos insertado el USB.
También debemos asegurarnos que el fichero de ejecución AUTORUN.INF no existe en el lápiz. De existir hay que eliminarlo, pues es el que realiza el proceso de ejecución automática y propagación. Algunos antivirus como Panda, pueden crear un autorun.inf sin contenido para proteger el dispositivo USB de las infecciones. Este autorun.inf creado por los antivirus, no se puede eliminar "sin formatear el USB".
También debemos asegurarnos que el fichero de ejecución AUTORUN.INF no existe en el lápiz. De existir hay que eliminarlo, pues es el que realiza el proceso de ejecución automática y propagación. Algunos antivirus como Panda, pueden crear un autorun.inf sin contenido para proteger el dispositivo USB de las infecciones. Este autorun.inf creado por los antivirus, no se puede eliminar "sin formatear el USB".
Así pues, elimina AUTORUN.INF, el arranque USB que infecta la maquina y ejecuta el script.
Ve a las opciones de carpeta y dale a mostrar archivos ocultos y desmarca la casilla de ocultar ficheros del sistema.
Por ultimo mueve el contenido de la carpeta "_" al raíz del USB. No olvides borrar el resto de carpetas extrañas:
Ve a las opciones de carpeta y dale a mostrar archivos ocultos y desmarca la casilla de ocultar ficheros del sistema.
Por ultimo mueve el contenido de la carpeta "_" al raíz del USB. No olvides borrar el resto de carpetas extrañas:
Si quieres averiguar en donde se ha instalado el script, en las propiedades del acceso directo que queda en el ordenador infectado, aparece la ruta de ejecución. Revisa las tareas programadas (programador de tareas) y los procesos de la carpeta "inicio" de windows para averiguar si tienes el proceso residente como explicamos mas abajo.
El contenido origen desde donde se propaga el fichero esta en la carpeta WindowsServices (oculta) del lapiz y contiene los siguientes ficheros que replican en las máquinas que "infecta":
EN EL EQUIPO INFECTADO (CUANDO EL PC ES EL FOCO DE INFECCIÓN):
El script se camufla en el arranque del equipo para iniciarse y poder propagarse. La desinfección pasa por eliminar el fichero que copia el script en los USB. NO SE PROPAGA POR LA RED.
Para localizarlo, ejecutamos el comando MSCONFIG (en inicio ejecutar) y verificamos la ruta en donde se esconde el script; en nuestro caso se llama helper.vbs y se encuentra en la carpeta "autorun de inicio" o llamada carpeta "inicio":
Este acceso es el que hace que se ejecute cuando se arranca el equipo. El escript evita que podamos poner en las propiedades de las carpetas "mostrar archivos ocultos".
Este es el acceso directo, borrando este acceso no eliminamos el fichero ni solucionamos el problema. Tenemos que ver las propiedades del acceso directo y localizar la ruta donde se encuentra el fichero de propagación:
En nuestro caso se encuentra en la carpeta roaming a la cual llegaremos con el comando %appdata% (en inicio ejecutar), sin embargo no veremos la carpeta de lo contiene "WindowsServices" por que estará oculta, junto con su contenido, lo mejor es hacer los siguiente:
Copia la ruta sin el nombre del fichero, en nuestro caso C:\Users\USUARIO\AppData\Roaming\WindowsServices\
1.- Abre la consola de MS-DOS CMD (inicio-ejecutar CMD)...
2.- Accede a la carpeta con el comando:
CD C:\Users\USUARIO\AppData\Roaming\WindowsServices\
3.- Ejecuta el comando para desproteger los archivos (asegúrate de que estas en la ruta indicada):
ATTRIB -r -s -h *.*
4.- Borra los ficheros con el comando (asegúrate de que estas en la ruta indicada):
DEL *.*
5.- Una vez borrados ya no se ejecutará la propagación. Queda borrar el fichero del directorio inicio del menú de inicio, cerrar la consola y reiniciar el equipo.
Para verificar que no tienes el virus, marca la casilla de mostrar ficheros ocultos, y desmarca ocultar ficheros de sistema. Si cierras la ventana y vuelves a abrirla, si no se guardan los cambios, es que sigues infectado.
Aun que no es un virus, no olvides disponer en tu casa de un antivirus en condiciones. No evitará que puedas infectarte con este script, pero si evitarás la propagación de infecciones o que te infecte un virus trasportado en un USB.
NO recomendamos: Avast, Avg, Avira,...
Recomendados por orden de eficiencia (a Julio de 2016): Kasperky, ESET, Norton, Panda
No hay comentarios :
Publicar un comentario