Antivirus Win2x.exe (Romeo) Virus Peligroso
julio 25, 2008Saludos
Decidí escribir este post para estrenar mi Blog. Hace unos días una malsana memoria USB contaminó mi PC con un extraño virus que te hace creer que se ha borrado las carpetas del disco duro, pero en realidad sólo las ha escondido y las ha remplazado con folders idénticos a los de las carpetas comunes, pero que en realidad son archivos ejecutables que con sólo intentar abrirlos, siguen contaminando la computadora.
Hay una página cubana donde se encuentra un programa llamado Sysconfig Utility. Para quienes crecimos con el sistema DOS, sabemos que los archivos de windows, sysconfig y command siguen siendo parte del cerebro de este sistema operativo.
La utilidad repara las carpetas contaminadas; desparece los “clones” de las carpetas autoejecutables que continuamente activan el virus y “reparece” las carpetas originales a las que había incluido la propiedad de ser invisibles.
Sin embargo, si el virus ha avanzado no corregirá las entradas modificadas por el virus.
Pruebénla, no es otro virus es confiable y si no visiten la página cubana:
http://www.segurmatica.co.cu/descargas/index.php
Me gustaría poner la descarga directa pero wordpress no lo permite. Si cuando visiten este sitio el enlace se ha caído, dejen un post con su correo y envío la utilidad por correo.
Además de esta herramienta si el virus permaneció algún tiempo en la computadora habrá hecho modificaciones a una buena cantidad de entradas del registro para lo que habrá que utilizar algunas herramientas más, en modo a prueba de fallos, pues de lo contrario detectarán los errores pero no los corregirán:
SpyBot Search&destroy: http://www.safer-networking.org/en/download/
Adware free: http://www.lavasoft.com/products/ad_aware_free.php
Regcleaner y registrycleaner
Además, es necesario reparar manualmente varias entradas en caso de que el virus haya contado con el tiempo suficiente para hacer las modificaciones.
Saludos, desde México.
EFECTOS DEL VIRUS, DE ACUERDO A LA ENCICLOPEDIA DE PANDA:
Efectos
Romeo.C realiza las siguientes acciones:
- Muestra el mensaje Su PC esta infestada por un virus de ultima generacion cada vez que se reinicia el ordenador.
- Puede cerrar aplicaciones que estén en ejecución o cerrar sesión sin previo aviso.
Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:
- Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
- consola de comandos. - Deshabilita las siguientes opciones del menú Inicio:
- Buscar, que permite buscar archivos de una manera rápida y directa.
- Ejecutar.
- Apagar y Cerrar sesión, por lo que el usuario no podrá apagar el ordenador ni cerrar sesión a través del menú Inicio.
- Oculta el reloj de Windows. - Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
Metodo de Infección
Romeo.C crea los siguientes archivos en el directorio de sistema de Windows:
- SAVE.EXE y WIN2X.EXE. Estos archivos son copias del troyano.
- DLL.SYS, utilizado para recopilar datos del ordenador afectado.
Romeo.C modifica el archivo BOOT.INI. El contenido predeterminado de este archivo es:
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo=”Su PC está infestada por un virus de ultima generacion”
De esta manera, el mensaje Su PC está infestada por un virus de ultima generacion se mostrará en cada reinicio del sistema.
Romeo.C crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Win2x = %sysdir%\Win2x.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Romeo.C consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 01, 00, 00, 00
Deshabilita la consola de comandos. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
Disable SR = 1
Deshabilita la opción de restauración del sistema. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoClose = 1
No aparece la opción Apagar del menu Inicio e impide la ejecución del comando shutdown a través de la consola de comandos. (CMD.EXE) - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
StartMenuLogOff = 1
No muestra la opción de Cerrar sesión en el menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
Deshabilita la función Ejecutar del Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
HideClock = 1
De esta manera, oculta el reloj de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
RestrictRun = 1
Deshabilita la posibilidad de restringir las aplicaciones que puede ser ejecutadas por los usuarios.
Además, crea las entradas necesarias para registrarse como un servicio denominado WIN2X y así poder ejecutarse cada vez que Windows se inicia:
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2x
Romeo.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
Método de Propagación
Romeo.C llega al ordenador en un archivo con el icono de una carpeta, aparentemente idéntica a una carpeta normal, pero que en realidad es un archivo ejecutable, y al hacer doble clic sobre esta carpeta el virus se activa continuamente. Las carpetas “reales” siguen estando en el disco duro o en la memoria usb, sólo que tienen la propiedad de aparecer invisibles.
Algunas presiciones:
La herramienta de la página cubana no repara todas las modificaciones que ya haya realizado el virus, aunque si lo elimina.
La modificación al archivo BOOT.INI. debe hacerse de manera manual, escribiendo la leyenda que corresponda al sistema operativo.
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo=”Su PC está infestada por un virus de ultima generacion”
Lo que está entre comillas debe cambiarse por la leyenda del Sistema operativo que corresponda.
Hacer esto, me llevo varios días, pero pude corregir todas las modificaciones hechas por el virus.
Sin duda podría ser más rápido formatear y reintalar todo. Pero si el disco duro infectado es muy grande podría llevar también varios días hacer los respaldos. Por lo que si quieres entretenerte un rato trata de reparar el virus y si no cuentas con tiempo o la información que necesites respaldar no es demasiada, otra opción es formatear.
Como el virus se desarrolla dentro del equipo y va afectando diferentes aspectos, es necesario revisar todas las posibles modificaciones que haya provocado.
GRACIAS POR LOS COMENTARIOS
Muy buena recopilacion de informacion, yo sabia como eliminarlo y los efectos que provoca; pero no sabia a totalidad las cadenas que creaba en el registro de windows.
te felicito por tu blog y adelante a seguir aportando para que tu blog crezca…
tc1421
Hola. Te felicito por la informacion recabada esta muy completa. Yo tengo ese virus en mi pc. y voy a seguir los links. para eliminarlo. Gracias
Muchìsimas gracias por el aporte
. . a pesar del tiempo que ha transcurrido y éste blog sigue vigente. . .
lo mismo me ha pasado y me sirvió de mucho. . .
seguimos en contacto
te agradesco por la información en otros lados solo encontraba pura basura, gracias por el aporte
muy muy util, la info!!! Gracias!!!
gracias men me has salvado toda mi informacion, muy buen aporte. y adelante con tu blog
Hola.
En este momento estoy con ese problema pero la PC es la de mi trabajo la cual se usa para entrar a un Plc donde esta instalado un sistema de automatizacion el cual no ha sido infectado por eso no puedo formatear ni trasladar el cpu, buscare hacer lo que tu dices espero que funcione sin danar la carpeta donde esta el programa.
Que me aconsejas?
Hola. Lo que te recomiendo es que corras la herramienta sysconfig una o dos veces en el sistema y también en todas tus memorias usb. Después instalar los tres programas que se indican. Los tres debes correrlos en modo a prueba de fallos y recomendaría que primero pases adware. Después revisar que partes del sistema fueron modificados por el virus. Corregir manualmente todas las entradas que se hayan modificado y que no hayan eliminado los programas. Después volver a pasar adware en modo a prueba de fallos. Modificar el archivo boot.ini. Y después tratar de instalar nod32 para escanear todo tu pc, o si es posible correrlo desde el otro sistema para que revise tu pc infectado. Aunque kaspersky elimina también este virus es probable que si lo instalas en estas condiciones el sistema se vuelva lento, por lo que recomiendo el nod32 que es más ligero. De cualquier forma esto espara evitar hacer respaldos o en la iposibilidad que tienes por el momento de formatear. Si todo resulta, quizá en algún tiempo quizá debas ver la forma de formatear porque es probable que la pc se vuelva lenta. Suerte ¡¡¡
Hola Edgar ojala puedas ayudarme ya que i sistema esta infectado con este virus win2x pero no halle el programa que indicas en la pagina cubana. saludos
Hola Edgar apenas inicio el proceso de desinfeccion pero es notorio k recopilaste toda la informacion necesaria sobre este Bendito “Romeo” no hay k darle mas vueltas al asunto.
Hola gracias por los comentarios. Yo eliminé el virus siguiendo estas instrucciones, por lo que se que se debe disponer de un buen tiempo hacer todo el procedimiento. Saludos