Hace tan solo unos dias tuve que limpiar una computadora infectada con el rogue (antivirus falso) Security Protection. Por supuesto, use mi procedimiento regular para comenzar la limpieza, el cual incluye usar un flash drive (pendrive) donde tengo instaladas mis 'herramientas de limpieza'. Afortunadamente, todo salio perfecto. Y luego de un par de 'reboots', la computadora de mi cliente estaba como nueva...
Asi es que me dispuse a limpiar una segunda computadora.... Luego de insertarle el flashdrive y abrir el directorio raiz del mismo (la carpeta principal del mismo), note un par de archivos que no deberian estar ahi bajo ninguna aspecto...
Como habian aparecido magicamente en mi flash drive, si yo no los habia puesto alli?
Lo que habia sucedido es que la computadora infectada con el Security Protection tambien estaba infectada con otro virus...El gusano Rorpian..., el cual habia creado esos archivos en mi flashdrive automaticamente cuando lo inserte en el puerto USB de la computadora!
Y como funciona este gusano?
La manera en que un virus o un gusano o cualquier malware en general entra a una PC varia de computadora a computadora y de usuario a usuario. Sin embargo, una caracteristica siempre presente es que engañan a la victima haciendole creer que lo que van a descargar a su computadora y luego ejecutar es inofensivo. Puede tratarse de un screensaver, un juego, una foto, un video, un codec de video, una pagina de internet con scripts maliciosos, etc.
Cuando la victima ejecuta el archivo infectado con el gusano Rorpian, que puede haber provenido de cualquiera de las fuentes mencionadas arriba, el gusano se copia a si mismo (tipico de virus y worms) en las carpetas temporales de Windows usando un nombre aleatorio con la siguiente estructura:
svr8E0.tmp
Luego el gusanito crea un par de entradas en el Registro de Windows (base de datos que guarda toda la configuracion del sistema) que le permitiran cargarse en la memoria de la computadora cada vez que esta sea encendida, como si se tratara de un 'servicio' real y legitimo del Sistema Operativo. La manera en que lo hace esta tan bien diseñada que es bien dificil detectarlo al menos que uno sospeche que dicho gusano puede estar afectando al sistema, ya que se 'mimetiza' con otros servicios reales y necesarios de Windows.
Al cargarse como 'servicio' cada vez que la PC es encendida, el gusano puede realizar todo tipo de 'tareas' en tu PC sin que tu te des cuenta en lo mas minimo. Como por ejemplo:
Los peligros del Autorun/Autoplay
Entre los archivos que este gusano crea existen dos que aprovechan vulnerabilidades en el diseño del sistema operativo Windows para poder infectar rapidamente una computadora.
Asi es que me dispuse a limpiar una segunda computadora.... Luego de insertarle el flashdrive y abrir el directorio raiz del mismo (la carpeta principal del mismo), note un par de archivos que no deberian estar ahi bajo ninguna aspecto...
Como habian aparecido magicamente en mi flash drive, si yo no los habia puesto alli?
Lo que habia sucedido es que la computadora infectada con el Security Protection tambien estaba infectada con otro virus...El gusano Rorpian..., el cual habia creado esos archivos en mi flashdrive automaticamente cuando lo inserte en el puerto USB de la computadora!
Y como funciona este gusano?
La manera en que un virus o un gusano o cualquier malware en general entra a una PC varia de computadora a computadora y de usuario a usuario. Sin embargo, una caracteristica siempre presente es que engañan a la victima haciendole creer que lo que van a descargar a su computadora y luego ejecutar es inofensivo. Puede tratarse de un screensaver, un juego, una foto, un video, un codec de video, una pagina de internet con scripts maliciosos, etc.
Cuando la victima ejecuta el archivo infectado con el gusano Rorpian, que puede haber provenido de cualquiera de las fuentes mencionadas arriba, el gusano se copia a si mismo (tipico de virus y worms) en las carpetas temporales de Windows usando un nombre aleatorio con la siguiente estructura:
svr8E0.tmp
Luego el gusanito crea un par de entradas en el Registro de Windows (base de datos que guarda toda la configuracion del sistema) que le permitiran cargarse en la memoria de la computadora cada vez que esta sea encendida, como si se tratara de un 'servicio' real y legitimo del Sistema Operativo. La manera en que lo hace esta tan bien diseñada que es bien dificil detectarlo al menos que uno sospeche que dicho gusano puede estar afectando al sistema, ya que se 'mimetiza' con otros servicios reales y necesarios de Windows.
Al cargarse como 'servicio' cada vez que la PC es encendida, el gusano puede realizar todo tipo de 'tareas' en tu PC sin que tu te des cuenta en lo mas minimo. Como por ejemplo:
- Crear archivos infectados en flashdrives, pendrives, discos duros externos y otras computadoras que formen parte de una red de acceso local. Recuerdan los dos archivos que aparecieron magicamente en mi flash drive?
- Conectarse automaticamente a servidores, descargar y ejecutar mas virus, como el mencionado rogue Security Protection.
Los peligros del Autorun/Autoplay
Entre los archivos que este gusano crea existen dos que aprovechan vulnerabilidades en el diseño del sistema operativo Windows para poder infectar rapidamente una computadora.
- La extension lnk de los accesos directos: esta vulnerabilidad le permite al gusano rorpian autoejecutarse aunque no le hagas click a ningun archivo en particular! Simplemente con el hecho de abrir una carpeta que contengan los archivos myporno.avi.lnk y pornomovs.lnk, el gusano se puede autoejectuar e infectar una nueva computadora.
- El archivo Autorun.inf: este es un problema mas que nada en computadoras con Windows XP. El archivo Autorun.inf les permite a los CD's o Flashdrives ejecutar automaticamente un programa luego de haberlos insertado en la computadora. Los archivos Autorun.inf son muy comunes en CD's que contienen drivers para webcams, impresoras, etc. Al insertarlos, el archivo Autorun ejecuta automaticamente el archivo instalador y la instalacion de los drivers comienza automaticamente. Por supuesto, en el caso del gusano Rorpian, el archivo Autorun.inf que este crea, le indica a la PC ejecutar automaticamente el virus apenas insertas el CD o Flashdrive infectado.
un amigo tiene ese securiti protector. komo se lo saco?
ResponderBorrarremover un worm como ese es algo bastante complicado. asi que al menos que tengas experencia en el campo de la eliminacion de virus, te recomiendo que mejor busques ayuda profesional. Si vives en el area de Concord en Carolina del Norte, estare mas que contento en ayudarte. Si no tambien podemos usar el servicio de asistencia remota...
ResponderBorrar