h1

La vuelta de los virus de los disquetes

enero 21, 2009

Recientemente leímos la vuelta de los virus a los nuevos disquetes: las memorias USB. No suelo hacer este tipo de entradas en este blog, pero como acabo de “pegarme” con un virus que traje en mi memoria USB “seguramente” del centro educativo, aquí dejo constancia.

En concreto es el W32.Lineage.KLG.worm. Vino a través de un archivo gy.exe y en otro x2csvg.exe (ambos ejecutables). En casa tengo el Panda Antivirus que fue el que lo cazó y lo eliminó (copias en la memoria USB y también en unas cuantas copias que se intentaban pasar al disco duro). Revisando el informe del Panda, vi que también aparecía en el fichero autorun.inf de la memoria USB.

Este fichero me aparecía oculto, de sistema y de sólo lectura, según la información del comando attrib (desde símbolo de sistema, el MS-DOS, vaya). Leyendo su contenido (pocas líneas) con el comando type, resulta que llamaba al (ya borrado) gy.exe desde el propio lápiz y desde el disco duro de un ordenador potencialmente infectado. Aunque el fichero gy.exe ya no existía en la memoria USB seguía invocando a otro que pudiera estar en el disco duro de otro ordenador, así que decidí borrar sin más el fichero autorun.inf de la memoria USB.

Y claro, el comando del no sirve (es sólo lectura). Como me da por cosas raras decidí abrirlo con un editor hexadecimal. Lo mismo: podía leer el contenido pero no editarlo y por tanto no podía cambiarlo.

Entonces recurrí a Google. Y me encontré en una de las primeras entradas de mi búsqueda un foro en el que hablaba de una maravillosa herramienta “destroza autorun.inf usb para acabar con esos molestos virus” y un enlace a rapidshare para descargártela. Cosa que hice.

Comprimida en rar, antes de hacer nada le pasé (obviamente) el antivirus. Y, vaya vaya, venía con el “regalo” del NirCmd.A, un “programa potencialmente no deseado” según recoge Panda. En resumen, otro código malicioso…

Finalmente accediendo a la información de un blog de más seria aparienciaa y analizando la información que allí venía, me di cuenta de que había dado demasiadas vueltas porque la solución estaba… en la primera herramienta que ya había usado para ver los atributos del fichero autorun.inf, el comando attrib, por supuesto, pero usado no para ver los atributos, sino para modificarlos y seguido de un borrado del archivo…

attrib autorun.inf +a -h -s -r
del /s /q /f autorun.inf

La forma de eliminar el archivo gy.exe es la misma:

attrib gy.exe +a -h -s -r
del /s /q /f gy.exe
 
Ah, los largos años alejado del viejo MS-DOS es lo que tiene…

 

Actualización (23-01-09)
El troyano estaba por los discos duros “sin congelar” de muchos de los ordenadores del aula, así como en varias memorias USB de los alumnos. Además, aparecían (no siempre) estos otros archivos como ocultos, de sistema y de sólo lectura: w98.com, m2nl.bat, j60osk9.cmd, 6fnlpetp.exe y h3.bat.
Todos ellos se pueden eliminar según lo expuesto anteriormente: cambiar primero sus atributos (quitando que sean de sistema, ocultos y de sólo lectura) y luego borrarlos.
Actualización (30-01-09)
Sigue por algunos USB, hoy me he encontrado con estos otros nombres, además de los ya conocidos: 8.bat, ncyrf.bat, iqe68o.bat, todos como ocultos, de sistema y de solo lectura.  Su eliminación es la ya indicada anteriormente.
Anuncios

7 comentarios

  1. Hola pues buscaba información sobre este virus; ejecute los comandos que pusiste y pense que mi máquina no tenia dicho virus , pero encontro uno en una carpeta temporal y lo elimino.
    Gracias muy efectivo


  2. Gracias por el enlace, si que soy serio a la hora de trabajar en vacunas para estos fastidiosos virus de pendrive!

    Saludos desde Perú.


  3. Ola,si para mostrar el archivo oculto se utiliza los comandos ” attrib gy.exe +a -h -s -r ” ,como se hace si quieres ocultar un archivo o carpeta?? cambiando los + por los – delante de las letras¿?¿? o no es asi de facil ?? jeje
    saludos


  4. mira yo tengo problemas con el m2nl.bat y no se que hacer me podrias ayudar


  5. @ luis angel: pues sí, es así de sencillo, pones attrib fichero +h +s +r y queda oculto, de sistema y de sólo lectura.

    @ Giovanni: en principio yo el m2nl.bat lo eliminé así como comento:

    abres el símbolo de sistema (en inicio, accesorios, es la pantalla en negro) y escribes:

    attrib m2nl.bat +a -s -h -r

    y despues esto:

    del m2nl.bat

    y ya debería poder borrarse.

    un saludo.


  6. hola que tal tengo preblema con el j60osk9.cmd.
    me bloqueo todos mis archivos ocultos. me podrias ayudas a borrarl?


  7. @ orianny: si la cosa es fácil podrías probar a sacar el símbolo de sistema, moverte al directorio en el que esté el fichero y:

    attrib j60osk9.cmd +a -s -h -r
    del j60osk9.cmd

    si te permite esto bien, si no… intenta hacer un escaneo online con algún antivirus que te lo permita, mira en:

    http://www.alertaantivirus.es, dentro de utilidades

    suerte,

    raúl



Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s