RECYCLER
Este virus tiene las siguientes
características:
1. Se
propaga por medio de unidades de almacenamiento USB e infecta las computadoras
creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
y
dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que
hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el
usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la
Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus
que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues
tiende a hacer creer que estamos "limpios".
2. Una
vez ejecutado el virus, se conecta a internet a la siguiente página:
www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me
parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre
de usuario al azar y con un password: trb123trb. Esto le permitía al atacante
poder tomar el control de la computadora y enviar comandos diversos a la PC, es
por eso que muchas de las víctima de este virus tienen problemas relacionados
con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.
3. Su
forma de auto ejecutarse a cada inicio de Windows también. Si lo buscas en el
MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra
en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive
SetupInstalled Components {08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath
= "C: RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe"
4.
Crea un archivo autorun en todas la unidades ya sean físicas o removibles con
el siguiente contenido:
open=RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe
icono=%SystemRoot%system32SHELL32.dll,4
action=Open
folder to view files
shellopen=Open
shellopencommand=RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ise.exe
shellopendefault=1
5.
Para evitar su detección por medio del administrador de tareas y anulación de
sus procesos, inyecta su proceso al explorer.exe.
Eliminación
manual:
1.
Abrir una consola de comandos (cmd.exe)
2.
Finalizar el proceso del explorador (explorer.exe):
taskkill
/f /im explorer.exe
3.
Tipear:
cd
Recycler
4.
Quitar los atributos de la carpeta
S-1-5-21-1482476501-1644491937-682003330-1013 con el comando:
attrib
-h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5.
Renombrar la carpeta, una forma bien simple de arruinarle los planes a este
virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013
aaaaaa
6.
Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir
a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la
carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a
eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.
Se
Procedio hacer un script que automatice el proceso. Para los que no quieren
hacerlo manual con este script lo ejecutan y listo
Archivo
mata virus Script
Nota:
El mata virus Recycler lo he probado en 16 máquinas infectadas y en todas ha
limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado,
pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección.
Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus
memorias USB.
También
el Kasperky 2009 Lo elimina
Una vez eliminadoel virus con un buen antivirus,nos encontramos con que las carpetas que teniamos en la unidad usb han desaparecido.haremos un pequeño truco de magia para volverlas a ver supongamos que la memoria usb ocupa la letra F, hariamos lo siguiente:
1.-inicio>ejecutar (tambien podemos presionar las teclas de windows +R
2.-escribimos cmd y pulsamos enter
3.-ahora escribimos la letra de nuestra memoria
4.-ahora escribimos lo siguiente:
attrib -s -h -r /s /d
5.-pulsamos enter
listo vuelven a apraser los archivos
No hay comentarios:
Publicar un comentario