Saludos
Decidí escribir este post para estrenar mi Blog. Hace unos días una malsana memoria USB contaminó mi PC con un extraño virus que te hace creer que se ha borrado las carpetas del disco duro, pero en realidad sólo las ha escondido y las ha remplazado con folders idénticos a los de las carpetas comunes, pero que en realidad son archivos ejecutables que con sólo intentar abrirlos, siguen contaminando la computadora.
Hay una página cubana donde se encuentra un programa llamado Sysconfig Utility. Para quienes crecimos con el sistema DOS, sabemos que los archivos de windows, sysconfig y command siguen siendo parte del cerebro de este sistema operativo.
La utilidad repara las carpetas contaminadas; desparece los “clones” de las carpetas autoejecutables que continuamente activan el virus y “reparece” las carpetas originales a las que había incluido la propiedad de ser invisibles.
Sin embargo, si el virus ha avanzado no corregirá las entradas modificadas por el virus.
Pruebénla, no es otro virus es confiable y si no visiten la página cubana:
http://www.segurmatica.co.cu/descargas/index.php
Me gustaría poner la descarga directa pero wordpress no lo permite. Si cuando visiten este sitio el enlace se ha caído, dejen un post con su correo y envío la utilidad por correo.
Además de esta herramienta si el virus permaneció algún tiempo en la computadora habrá hecho modificaciones a una buena cantidad de entradas del registro para lo que habrá que utilizar algunas herramientas más, en modo a prueba de fallos, pues de lo contrario detectarán los errores pero no los corregirán:
SpyBot Search&destroy: http://www.safer-networking.org/en/download/
Adware free: http://www.lavasoft.com/products/ad_aware_free.php
Regcleaner y registrycleaner
Además, es necesario reparar manualmente varias entradas en caso de que el virus haya contado con el tiempo suficiente para hacer las modificaciones.
Saludos, desde México.
EFECTOS DEL VIRUS, DE ACUERDO A LA ENCICLOPEDIA DE PANDA:
Efectos
Romeo.C realiza las siguientes acciones:
- Muestra el mensaje Su PC esta infestada por un virus de ultima generacion cada vez que se reinicia el ordenador.
- Puede cerrar aplicaciones que estén en ejecución o cerrar sesión sin previo aviso.
Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:
- Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
- consola de comandos. - Deshabilita las siguientes opciones del menú Inicio:
- Buscar, que permite buscar archivos de una manera rápida y directa.
- Ejecutar.
- Apagar y Cerrar sesión, por lo que el usuario no podrá apagar el ordenador ni cerrar sesión a través del menú Inicio.
- Oculta el reloj de Windows. - Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
Metodo de Infección
Romeo.C crea los siguientes archivos en el directorio de sistema de Windows:
- SAVE.EXE y WIN2X.EXE. Estos archivos son copias del troyano.
- DLL.SYS, utilizado para recopilar datos del ordenador afectado.
Romeo.C modifica el archivo BOOT.INI. El contenido predeterminado de este archivo es:
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo=”Su PC está infestada por un virus de ultima generacion”
De esta manera, el mensaje Su PC está infestada por un virus de ultima generacion se mostrará en cada reinicio del sistema.
Romeo.C crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Win2x = %sysdir%\Win2x.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Romeo.C consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 01, 00, 00, 00
Deshabilita la consola de comandos. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
Disable SR = 1
Deshabilita la opción de restauración del sistema. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoClose = 1
No aparece la opción Apagar del menu Inicio e impide la ejecución del comando shutdown a través de la consola de comandos. (CMD.EXE) - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
StartMenuLogOff = 1
No muestra la opción de Cerrar sesión en el menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
Deshabilita la función Ejecutar del Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
HideClock = 1
De esta manera, oculta el reloj de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
RestrictRun = 1
Deshabilita la posibilidad de restringir las aplicaciones que puede ser ejecutadas por los usuarios.
Además, crea las entradas necesarias para registrarse como un servicio denominado WIN2X y así poder ejecutarse cada vez que Windows se inicia:
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2x
Romeo.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
Método de Propagación
Romeo.C llega al ordenador en un archivo con el icono de una carpeta, aparentemente idéntica a una carpeta normal, pero que en realidad es un archivo ejecutable, y al hacer doble clic sobre esta carpeta el virus se activa continuamente. Las carpetas “reales” siguen estando en el disco duro o en la memoria usb, sólo que tienen la propiedad de aparecer invisibles.
Algunas presiciones:
La herramienta de la página cubana no repara todas las modificaciones que ya haya realizado el virus, aunque si lo elimina.
La modificación al archivo BOOT.INI. debe hacerse de manera manual, escribiendo la leyenda que corresponda al sistema operativo.
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo=”Su PC está infestada por un virus de ultima generacion”
Lo que está entre comillas debe cambiarse por la leyenda del Sistema operativo que corresponda.
Hacer esto, me llevo varios días, pero pude corregir todas las modificaciones hechas por el virus.
Sin duda podría ser más rápido formatear y reintalar todo. Pero si el disco duro infectado es muy grande podría llevar también varios días hacer los respaldos. Por lo que si quieres entretenerte un rato trata de reparar el virus y si no cuentas con tiempo o la información que necesites respaldar no es demasiada, otra opción es formatear.
Como el virus se desarrolla dentro del equipo y va afectando diferentes aspectos, es necesario revisar todas las posibles modificaciones que haya provocado.
GRACIAS POR LOS COMENTARIOS
