31 oct 2008

Virus USB Autorun.inf

Hola!!

Hoy fue dia de pelear con los malware, alguien entro una USB contaminada y causo un caos en la oficina.

Los sintomas son:

1. Cuanto la USB ejecuta el autorun lo reconoce como un programa

    Advertencia: si le dan en OK el programa se copia a su disco duro y se registra como un servicio

2. Deshabilita los archivos ocultos en la USB para que no se puedan modificar

3. El programa crea un archivo y una carpeta en el USB (RECYCLER y Autorun.inf)

4. El Autorun.inf debe de tener un texto similar al siguiente

[autorun]
open=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\plzrunmes.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\plzrunmes.exe
shell\open\default=1

Solucion:

1. Habilitar la opcion de ver archivos ocultos 

Mi PC - Opciones de Carpeta - Ver - Mostrar todos los archivos y carpetas ocultos

2. Pueden usar un programa como RegUnlocker

Si no lo consiguen me avisan y lo posteo

3. Abrir el administrador de tareas

CTRL+ALT+DEL

Administrador de tareas

4. Buscar el servicio SHCHOST.EXE (ojo: los servicios de Windows son SVCHOST.EXE)

5. Terminar el proceso

6. Buscar en el disco C: los archivos "shchost.exe; Exploider.h" Y eliminarlos

7. Para verificar que todo funciona normalmente conecte de nuevo un USB y verificar que no cree la carpeta y el archivo.

Espero les sirva!!

Fuente en ingles AQUI

No hay comentarios: