Virus
Páginas: 7 (1643 palabras)
Publicado: 15 de julio de 2010
Lo que sucede es que han sido victimes de un vorus llamado SXS.EXE. Una solucion sencilla es abrir el simbolo del sistema (En ejecutar se escribe cmd y enter). Se abre una ventana en modo DOS y alli se escriben los siguientes comados:
attrib -s -h -r -a X:\autorun.inf
attrib -s -h -r -a X:\sxs.exe
X:\ es la letra de la memoria (E, F, etc)
luego se borran los archivos
delX:\sxs.exe
del X:\autorun.inf
Listo... problema solucionado. Cierren la ventana DOS, desconecten la memoria y vuelvanla a conectar.
Saludos
Hay un virus que apareció estos días en la red de la empresa en la que trabajo, que se propaga vía unidades de memorias USB. La mayoría de los antivirus no lo detectaban y si lo detectaban, no lo podían eliminar correctamente.
He diseñado un pequeñoscript en VisualBasicScript que elimina el virus de forma automática y de todas las unidades infectadas. Este script también ha sido probado en varias máquinas infectadas y ha limpiado satisfactoriamente la infección.
Y lo puedes descargar de aquí:
[pic]
[pic][pic][pic]
Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución delscript reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus.Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.El comportamiento de este virus es interesante:1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es lahabilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.La estructura típica de unarchivo autorun.inf es:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
2. Entonces cuando se inserta una memoria USB y das en abrir la memoriapara ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:
C:\WINDOWS\System32\amvo.exeC:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo.Esto lo logra escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
o
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf yn1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:...
attrib -s -h -r -a X:\autorun.inf
attrib -s -h -r -a X:\sxs.exe
X:\ es la letra de la memoria (E, F, etc)
luego se borran los archivos
delX:\sxs.exe
del X:\autorun.inf
Listo... problema solucionado. Cierren la ventana DOS, desconecten la memoria y vuelvanla a conectar.
Saludos
Hay un virus que apareció estos días en la red de la empresa en la que trabajo, que se propaga vía unidades de memorias USB. La mayoría de los antivirus no lo detectaban y si lo detectaban, no lo podían eliminar correctamente.
He diseñado un pequeñoscript en VisualBasicScript que elimina el virus de forma automática y de todas las unidades infectadas. Este script también ha sido probado en varias máquinas infectadas y ha limpiado satisfactoriamente la infección.
Y lo puedes descargar de aquí:
[pic]
[pic][pic][pic]
Una vez descargado, solo haz doble click en el archivo descargado.
Te recomiendo que una vez que termine la ejecución delscript reinicies tu PC y ejecutes el script nuevamente para asegurar la completa eliminación del virus.Si deseas saber cómo funciona el virus y cómo es que funciona el script, puedes seguir leyendo.El comportamiento de este virus es interesante:1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es lahabilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.La estructura típica de unarchivo autorun.inf es:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
2. Entonces cuando se inserta una memoria USB y das en abrir la memoriapara ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:
C:\WINDOWS\System32\amvo.exeC:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo.Esto lo logra escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
o
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf yn1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea estarán repitiendo el paso 1.
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:...
Leer documento completo
Regístrate para leer el documento completo.