Eliminando virus que no deja ver datos ocultos…

 

Como están queridos lectores, esta semana me tope con un caso real, ya que también en este espacio publicare casos reales de soluciones a problemas con los cuales muchas veces nos topamos y cuestan solucionarlos, pues se trata de un virus que modifica el registro de Windows.

Lo que hace este virus es replicarse a través de unidades de almacenamiento USB usando el archivo Autorun.inf, esto para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB.

Pues bien en el caso de las familia de Sistemas Operativos de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.

La estructura típica de un archivo autorun.inf es:

[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico


En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:

ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com

Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados, cabe  resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista por los usuarios.

Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo: amvo.exe, avpo.exe, amvo0.dll, amvo1.dll, avpo0.dll, avpo1.dll; todos ellos en la ruta C:WINDOWSSystem32

Posteriormente el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba de este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Están estarán repitiendo el proceso de infección osea en Open llamar a los archivos arriba mencionados

Ah lo gracioso es que este virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo, esto lo logra modificando el registro de Windows, así que si intentas ir al Menu Herramientas en el explorador de Windows y poner la opción de Ver Archivos ocultos del sistema, simplemente no los podrás ver, para ello hay que modificar el registro de Windows .

Para que no te hagas muchos problemas con esto hay una solución es descargar un pequeño script que dejara estable el registro de Windows y al final puedas ver tus archivo ocultos o carpetas ocultas, este script les ayudara mucho aquí les dejo el link del mismo para poder descargar y ejecutar: http://www.mygeekside.com/downloads/2007/12/mata_virus_amvo_usb.vbs

Nos vemos el próximo miercoles con más novedades…

7 comentarios sobre “Eliminando virus que no deja ver datos ocultos…”

  1. Malos recuerdos con un virus de este tipo, en una red con más de 100 pc’s para cuando desinfectaba uno se habían vuelto a infectar 5… un script de este tipo me hubiera ahorrado disgustos, buen trabajo!

  2. jejeje ps si hay cada cosa en la red y no hacemos tanto mundo cuando con algo simple podemos «vacunarlo», gracias por tu comentario !!

    Un abrazo…

  3. Archivar una memoria USB es fácil. © USBarchive se pueden almacenar en una carpeta estándar. Muchos clientes ya están usando el archivo USB. ww.usb-archiv.de Catálogo de datos, información y presentaciones de empresa se pueden almacenar en la memoria USB. El archivo USB es una innovación HM. El diseño es plano, tan grande como una tarjeta postal y toda la superficie se pueden imprimir en 4 quater de impresión. http://www.usb-archives.com

  4. Hola amigo tngo un gran problema tngo un pendrive kingston de 8GB en ella hay fotos y daots de un cliente el cual quiso grabar las fotos en disco…bueno mi problema es que tnia virus y panda internet security elimino de el los virus..y no puedo ver los datos que tenia pero en propiedades del pendrive aparece utilizado 1.92Gb de uso coomo hago para ver y recuperar los datos de el ya q panda no encontro ningun tipo de virus en el q hago necesito ayuda y no quiero formatearlo..mi correo es e_d_aniel@hotmail.com necesito de alguna ayuda por favor..
    Gracias Atte Edwin Insfran

Responder a anonymous Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *