No es que me pase a menudo, porque suelo cuidar mucho de quién tomo y conecto dispositivos extraibles, pero hay ocasiones en que es casi inevitable tener que coger un archivo y no tienes posibilidad material de desinfectarlo previamente.
El caso es que me pille el molesto Perlovga.B, un troyano que se distribuye por extraibles, usando la auto-ejecución que hay Windows de todo lo que tenga un autorun.inf en el raiz. Tras verlo mil veces en el curro, lo "contraje" en casa, sabiendo que lo pillaba. Es poco dañino a priori, pero es molesto a más no poder, terminas pegándoselo a los amigos, y da mucho por culo que esté todo el rato tratando de salir a Internet.
¿Cómo funciona?
El disco que pinches llevará 3 archivos:
- Autorun.inf que lleva la orden de copiado.
- Copy.exe, que ejecuta la copia.
- Host.exe, que es el ejecutable que lleva la infección al registro y al disco duro.
Una vez infectado tendrás
- %windir%\svchost.exe (nada que ver con %windir%\system32\svchost.exe), que se ejecuta en la carga de windows para lanzar los otros ejecutables.
- %windir%\temp1.exe y %windir%\temp2.exe. El primero es el que copia en los extraibles que conectes en tu equipo los 3 archivos para infección (los 3 anteriormente vistos). Es el que extiende la infección. Temp2.exe trata de conectarse a Inet y sondea cada cierto tiempo para salir (ZoneAlarm me lo indicaba cada poco). Temp1.exe y Temp2.exe comprueban también que el otro esté también ejecutándose, cada poco, para lanzarlo si es necesario.
¿Como acabar con él?
Has pillado el Perlovga y lo acabas de notar (has visto los archivos, o el firewall te avisa, etc). Pues entonces:
- No saques el disco USB, tarjeta, etc que te haya infectado. Déjalo conectado.
- Termina con los procesos temp1.exe y temp2.exe. (si acabas con 1 sólo, el otro lo levanta).
- Bórralos de la carpeta \Windows\.
- Borra el svchost de la carpeta \windows\.
- Métete en el registo y acaba con la entrada de nombre "load" y contenido "c:\windows\svchost.exe", que está en \HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\.
- Borra los archivos copy.exe, host.exe y autorun.inf que están en el extraible, y quizás en tu disco duro.
Y listo.
3 comentarios:
Meserá útil en el futuro, hehehe...
El último que contraje gracias a una compi de clase fue un tal "Knight", pero con el AVG esta todo bajo control ^^
Para que veas que leo tu blog!
M.
Mejor, evita Windows en lo posible, y usa sistemas operativos de verdad :¬P
Pero de todas formas te voy a tirar de las orejas; no me digas que no desactivas el «autorun» de Windows… yo siempre lo quito en cada máquina nueva que uso.
Pues no. Hace un mes que lo formateé y cuando vi que el porno se bajaba sin problemas y que podía jugar al Toribash, pues ahí me quedé.
Publicar un comentario