[tron]

Historia de una infección.

Vine aquí y creé este hilo, para contar mi encuentro hace 2 semanas con un virus, del tipo autorun/recycler. La historia comienza así:

Abr 21, 2012:
Llega a casa un chico para que vea su Notebook... también trae 2 pendrives.

Ejecuto un antivirus portable, y verifico sus pendrives. Resultado: 4 virus. Intento mover software a su notebook con mis propios pendrives (P1 y P2).

Tengo activo el "ver archivos y carpetas ocultas" en el Explorador de Windows. Así descubro que el (los) virus intervienen el archivo "Autorun.inf" de los pendrives, y crean una carpeta llamada "RECYCLER". Dentro de ella, algunos archivos ejecutables... incluso tienen ícono (un 7 y un rayo).

Los "autorun" hacen referencia a "svchost.exe"... proceso Windows que permite la ejecución de librerías dll.

En pánico, verifico mis propios pendrives.... Infectados. Borro los archivos autorun y las carpetas Recycler, en los pendrives y en mi PC... reaparecen... Borro, expulso y vuelvo a conectar los pendrives... Allí están otra vez.

Respaldo los pendrives de mi visita y pido formatear... El SO me niega el servicio... sin lugar a dudas el virus ha bloqueado esa opción.

Se me empieza a salir lo "indio"... me nublo y ya no recuerdo el orden de las cosas.... pero por aquí va.

Así, borro los archivos y carpetas de los pendrives... y ahora activo el restaurar sistema. Luego de unos minutos, verifico los pendrives. No aparecen esos archivos/carpetas... y además, ahora los puedo formatear. Formateo los de mi visita, los expulso y vuelvo a colocar... y no hay señales de nada. Ok, un avance.

Abr 22, 2012.
He pasado todo el día masticando la rabia de mi descuido... temprano en la noche, me siento a trabajar.

Coloco uno de mis pendrive (P2)... es mi repositorio. Sin piedad, lo formateo.

COn el otro la cosa cambia. P1 carga PortableApps, con varias aplicaciones y una variedad de documentos, enlaces y claves.

Lo abro... sorpresa. Los íconos de PortableApps han cambiado a íconos comunes de carpetas, con la flechita de "atajo". Doble clic para abrir las carpetas... y el sistema me alega que falta un ejecutable en la carpeta... "Recycler".

Pruebo con las otras carpeta... nada. Todo igual. ¿Y mis documentos, descargas... ¡¡el último tomo de Ippo!!?.

Me doy vueltas en el asunto... y me baja lo prehistórico... computacionalmente hablando. Se me ocurre trabajar en modo "comando" (modo DOS para los veteranos).

Me muevo por la ruta de P1, y entro en las carpetas. Ok. Los archivos están allí, el bloqueo solo afecta a Windows. Con comandos tipo DOS, me muevo respaldando gran parte de mis documentos.


Abr 23, 2012.
Donde un amigo, busco información en google y coloco "virus autorun recycler"... Ufff! aparece una montonera de enlaces... Empiezo a leer los relacionados al foro infoSpyware. Las noticias no son alentadoras... algunos llevan meses luchando...

En Taringa encuentro información a propósito de cómo protegerse sin antivirus... es una tontería, pero sale una recomendación interesante. El "Explorador de Windows", a pesar de encontrarse activo el mostrar "archivos y carpetas ocultas", no muestra Recycler ni otras carpetas protegidas por el SO... recomiendan utilizar WinRAR y usar su explorador.

Yo utilizo 7-ZIP... lo ocupo y también funciona... Navego por su File Manager y me muestra todo el contenido de las carpetas, protegidas o no, excepto una (es la carpeta con mayor protección del sistema... pero no importa, no pasa nada).

Bajo algunos antivirus gratuitos a otro pendrive (P3)... se me ocurre verlo en 7-Z... existe una carpeta Recycler, pero el autorun está sano. Quizás huellas de una infección anterior... Lo "descharcheto" inmediatamente.

Instalo Malwarebytes Anti-Malware, arranco en Modo Seguro y verifico el sistema y a P3. El sistema tiene visitas indeseables. Lo limpio. Mi pendrive pasa sin problemas.

Ejecuto regedit y busco entradas sospechosas... encuentro varias. Las busco en google, y no me gusta lo que encuentro. Las borro. Finalmente corro CCleaner y limpio todo lo que puedo del registro.

Vuelvo a pasar Malwarebytes en su computadora. Ok.


Información adicional: Vacunas USB.

Spoiler:

Aprovecho de buscar info sobre algo que encontré en "infoSpyware": USB Fix y Panda USB Vaccine. Ambos programas trabajan sobre el autorun... buscan eliminar la ejecución automática en el PC, y protejer el archivo autorun en los pendrives. MMM!. Interesante. Una versión profesional de la recomendación que vi en Taringa.

Por la tarde le toca a mi "carcacha".
Con 7-Zip verifico P1. Puedo respaldar otra información moviendo íconos. Pero ya casi todo lo había hecho en modo DOS.


Información adicional: Papelera de reciclaje.

Spoiler:

Hace un tiempo quise buscar información sobre cómo "Intercambio virtuales" cambiaba los fondos de carpetas... Se me ocurrió verificar entonces los "desktop.ini" de las carpetas de P1. Hace referencia a CLSID en el regitro (pero además de otras que no aparecen en lo normal)... por lo que hago una revisión con regedit buscando esa entrada. Aparece en varias partes, por lo que descubro que es una entrada legítima. Miro por aquí y por allá, y es la identificación de usuario de Windows... existen tantas como usuarios registrados en tu PC (Administrador, Pedrito, Juanito, etc...). En Recycler es lo mismo... por cada usuario, un identificador SID para su propia "Papelera de reciclaje". Sin embargo, no todos los datos son legítimos. Purgo todos los que hacen referencia a una carpeta oculta en las papelera del usuario (mi PC tiene 1 usuario). Otra cosa... yo tengo activo "quitar los archivos inmediatamente al eliminarlos" en las propiedades de la papelera. Cuando envío algo a la papelera... se borra, no se almacenan allí. Por lo tanto, mi papelera no debe tener carpetas (ni archivos... con 2 excepciones)... y si las tiene, significa que son repositorios de malware.

Ejecuto también CCleaner aquí, varias veces según voy revisando mi registro. Sin piedad, sin asco... y sin respaldo (respalden, respalden).

Finalmente formateo P1... lo expulso, lo pongo y lo vuelvo a expulsar. Nada. No aparece ningún autorun, ni recycler.

Al final del día, la cosa no se ve tan mal...


Abr 25, 2012.
Por la mañana creo un CD con antivirus gratuitos y otras chucherías...

Por la tarde, instalo Malwarebytes Anti Malware (MBAW)... verifiqué ayer que trae una base de virus en el instalador (tenía 20 días)... vital para quien no tiene internet para actualizarla.

Lo corro en modo flash y rápido. Nada.

Arranco en "Modo seguro" y ejecuto el escaneo completo... 2 virus (Backdoor.bot y Trojan.FakeMS) en dos carpetas especiales (_Restore y System Volume Information, ambas en el directorio raíz). Los pongo en cuarentena y los borro.

Lo vuelvo a revisar... nada. Limpio.

Abr 26, 2012.
Información adicional: Carpetas de sistema.

Spoiler:

Bolseo internet donde mi amigo, otra vez. _Restore y System Volume Information son carpetas donde Windows guarda los punto de restauración. Sospecho que al borrar algunos de esos archivos, una restauración podría fallar y hacer colapsar el sistema. Considerando que ya mi PC se encontraba comprometido, decido desactivar "Restaurar sistema". Pero no lo hago de inmediato. System Volume Information es la carpeta que corresponde a Win XP... pero la referencia a _Restore me deja plop!. No debiera existir. Tengo dudas y le doy largas... y es que no encontré nada de nada...

Reinstalo PortableApps en mi pendrive P1, cargo Spybot y ClamWin portables (antimalware) y los actualizo... debo verificar con otro software el contenido de mi PC.

Además, le instalo el Panda USB Vaccine. Inmunizo todos mis pendrives.

Se viene el fin de semana largo... Más tranquilo, me tomo las cosas con calma... pero por si acaso, sigo sin utilizar todos mis pendrives en mi PC... lo tengo en cuarentena.


Abr 28-May 1 Fin de semana largo (en Chile).
La cosa se ve bien... no hay nada especial pululando por allí... pero mi PC, con el antivirus y tanta instalación y desintalación es una tortuga... tiene más años que "bandá de loros" y esto no le ayuda mucho.

Mientras, instalo Panda USB Vaccine en mi PC también. Sin embargo, aún no uso todos mis pendrives aquí.


May 2-3, 2012.
Además, muevo mi PC donde mi amigo, lo conectamos a internet, actualizamos MBAM.

A todo esto, leo en FayerWayer una información... Chile (junto a Argentina, Ecuador y España) son "top ten" en la taza de PCs contaminados... No puedo dejar de esbozar una sonrisa irónica...

May 4, 2012.
Información adicional: Carpetas de sistema, Parte 2.

Spoiler:

Me conecto a internet... debo ver lo de la carpeta _Restore y System Volume Information. Buscando info llego a TechSupportForum (TSF)... me inscribo y genero un hilo en el "Foro de Soporte de Win XP". "Champurreo" mi preguntita en inglés... En TSF obtengo buenas apreciaciones... y confirmaciones de mis sospechas, pero no existe información técnica de mi caso... Debo correr el riesgo. Desactivo "Restaurar sistema" y borro _Restore. Otras carpetas también... Recupero más de 1Gb de mi disco duro. Harto, en mi caso. Escaneo mi pc con MBAM, ClamWin, Spybot... nada. Nada de nada. Lo voy a probar este fin de semana antes de declarar resuelta mi pregunta en el foro.

May 7, 2012.
Todo ok... sin mayores dificultades.

Mi PC es de arranque más lento que antes... por lo del anti-virus, pero mejoró bastante al borrar toda la basura acumulada.
Afortunadamente, y más importante, se siente estable.

Doy por terminado mi paso por el purgatorio... no salí tan mal. Quería evitar formatear mi PC y lo logré, pero a futuro creo que será inevitable. Tiene carpetas del año de la pera...

... Continuará

[Dranzzer]

así que eres Chileno compañero tron Jajaja yo igual, y wow pedazo de historia a mi me paso algo parecido pero formatie D; no soy bueno pillando los virus manualmente, así que tendré en cuenta lo que hiciste

[tron]

Jaja... C..H...I...
Bueno, menuda casualidad...
2 "patiperros cibernéticos" en un fansub "peta-zeta"

Que bueno que te gustó, y que creas que te va a servir... por eso lo postié...

Tengo unos datos complementarios que espero subir en estos días... atenti.

Ahora, tengo entretención con un trojano...

Así que hasta la próxima... y gracias por postear aquí.

Chabela...

-- Mensaje fusionado: Vie 11 May 2012, 13:25 --

Análisis de una infección.

Los virus de autorun/recycler se aprovechan de una debilidad de Windows por ejecutar autorun.inf en los discos extraíbles. Puede venir un autorun malicioso tanto en un disco CD/DVD como en pendrives... obviamente, los pendrives son lo más común y peligroso, pues pueden escribir en ellos lo que deseen.

Hace un tiempo, leí en PCM que un estudio de Microsoft determinó que éste es el "ítem individual" que más genera PCs infectados. Por eso, Microsoft desactivó por defecto la ejecución del autorun.inf en Windows 7.

Cuando se conecta un Pendrive (u otra unidad extraible) a un PC, lo primero que se ejecuta es el autorun.inf. Los virus colocan allí un comando para ejecutar un programa, que colocan en una carpeta "Recycler" en el mismo pendrive.

RECYCLER es una carpeta legítima de Windows. Es la carpeta que guarda la "Papelera de Reciclaje". Cada unidad de disco tiene su propia recycler. Dentro de ellas, identificado por su SID (Id de usuario), las papeleras de cada uno de los usuario registrados en el PC.

Allí dentro, coloca el virus carpetas protegidas con sus ejecutables y archivos de datos. Cuando el usuario purga la papelera... estos archivos y carpetas no se borran, pues no aparecen en el archivo de control de la papelera.

¿Qué puedo hacer para verificar mis pendrives y mis carpetas recycler?.

En Taringa leí una recomendación sobre el archivo autorun. En ella, el usuario recomendaba crear una carpeta "autorun.inf"... Sí, una carpeta. Protegerla contra escritura, y listo. Básica.

Siguiendo ésta línea es como trabaja Panda USB Vaccine. Cuando lo instalas en tu PC, tienes dos opciones: Inmuniza tu PC/Inmuniza los Pendrives.

"Inmuniza tu PC" no es otra cosa que modificar el registro para que "autorun.inf" no se ejecute... en ningún caso (adios a los íconos de pendrives que tanto me costó encontrar).

"Inmuniza tu Pendrive" crea un archivo "autorun.inf" y les cambia los atributos. Genera un archivo con un atributo "Hd". La H significa "hidden" (oculto)... la d... bueno, D indica carpeta (directorio), pero la ¿¿¿ d ???. Probablemente asignaron ese atributo a muy bajo nivel (con una orden que obvia el sistema operativo). La sugerencia que encontré en Taringa no era tan pelotuda, después de todo.

El archivo "autorun.inf" generado no se puede abrir, mover, renombrar, copiar, nada. Para eliminarlo, debes formatear tu pendrive.

Pero ojo, USB Vaccine es un protector específico contra las modificaciones indeseables del autorun... no es un antivirus... tú aún puedes copiar y transportar archivos infectados. No te descuides.

Las carpetas RECYCLER, y su contenido, estan protegidas. No tanto como System Volume Information (carpeta que almacena los puntos de restauración del sistema, al cual solo "Restaurar Sistema" tiene acceso. El SO no puede hacer nada sobre ella).

En el Explorador de Windows no las verás (las recycler)... y si no las ves, no puede hacer nada. En modo comando (cmd, o modo DOS para los viejitos) se puede acceder y hechar un vistaso.

Pero lo mejor es utilizar el "Administrador de archivos" -File Manager- de algún programa de compresión. Yo utilizo 7-Zip, y su 7-Zip File Manager.

Allí, tú navegas por la ruta de directorios hasta llegar al raíz de tu disco (C:\). Recuerda que cada unidad lógica tiene su propia RECYCLER.

Al abrir RECYCLER, aparecerán una o más carpetas con nombres como estos: S-1-5-21-583907252-1708537768-1656927347-1003
No te asustes, es tu identificador de usuario en Windows. Son legítimas. Si tienes varios usuarios registrados en tu PC, tendrás más de esas. Cada una de ellas corresponde a una "Papelera de reciclaje" individual para cada usuario. Deberás verlas todas.

Para probar, purga tu papelera, de forma que esté vacía. Puedes configurarla para que no guarde los archivos, y los elimine de inmediato.

Al abrir "S-1-5-21-5839..." deberán aparecer 2 archivos: desktop.ini e INFO2. Son archivos válidos y siempre deben de estar allí.

Miremos desktop.ini. Allí se pueden asignar muchas cosas. Cuando cambias los íconos de una carpeta, y le asignas otro... estás creando/modificando éste archivo.

DESKTOP.INI:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

No debe aparecer nada más. Una Recycler infectada tiene más CLSID asignados... y llamadas esotéricas a archivos dentro de la misma carpeta.

Lo hacen para proteger la carpeta de "Vaciar papelera", usuarios curiosos, antivirus, y otros.

Si vaciaste tu papelera, y al abrir tu "S-1-5-21-5839..." hay algo allí... son señales de infecciones, activas o ya eliminadas. Bórralas.

Recuerda que cada carpeta "S-1-5-21-5839..." es un usuario diferente. Por lo que, eventualmente, podrías borrar algo de una papelera de otro usuario.

¿Cuál es mi carpeta RECYCLER?.

Si en el PC hay varios usuarios, habrán varias carpeta "S-1-5-21-5839..." en Recycler.

Ve a la papelera. Clic derecho y activa sus propiedades. Verifica que "Quitar los archivos inmediatamente al eliminarlos" no esté seleccionada.

En el escritorio, crea una "Nueva Carpeta". Dentro de ella, crea un nuevo "Documento de texto.txt". No es necesario que escribas nada en ella.

Mueve la carpeta a la papelera, pero no la vacíes.

Con 7-Zip File Manager, inspecciona tu carpeta Recycler.

En la carpeta del tipo "S-1-5-21-5839..." que te corresponda, deberá haber una carpeta "Dc1". Dentro de ella, nuestro "Nuevo documento de texto.txt". por tanto "S-1-5-21-5839..." es tu identifiación de usuario.

La papelera cambia los nombres de las carpetas a eliminar por "Dc?". No te preocupes.

Si borras Dc1 desde 7-ZFM, verás algo muy curioso... ¿Qué es?... es lógico, pero da un buen susto.

Como éste es un virus que utiliza los pendrives... debo decir que un pendrive JAMÁS debe tener una carpeta RECYCLER.
Si utilizas 7-ZFM para ver una pendrive... y ves una carpeta RECYCLER, bórrala sin asco ni piedad. Son huellas de infección.

A propósito del anterior post en respuesta al camarada...

Se activó mi alarma de MBAM por un troyano... Al querer ejecutar un programa desde un pendrive, apareció un mensaje de alerta de software intentando ejecutarse desde una carpeta TMP (o TEMP, no recuerdo), ubicada en:
C:\Documents and Settings\DefaultUser, lo que me recuerda algo...

En Documents and Settings (en la mayoría de los PC está en C:, pero puede configurarse para que se ubique en otros discos)... aparecen carpetas como DefaultUser, LocalUser... además de las carpetas de usuarios (tantas como usuarios definas en tu PC). Siempre hay allí carpetas TMP, y muy a menudo son repositorios de archivos y/o carpetas de malware...
Recomiendo escanearlas recurrentemente y mantenerlas lo más limpias posibles.

Finalmente, nada... absolutamente nada es mejor que un buen set de antivirus.
No te confíes en uno solo, pues ningún AV es 100% fiable.
Todo el trabajo manual que hice me resulto medianamente bien... pero sería una tontería pensar que es suficiente con algo como eso...
Si lo conté aquí, es para que les sirva de experiencia a todos... y todos aprendamos un poquito.

Gracias por su atención...

Tron.

-- Mensaje fusionado: Jue 07 Jun 2012, 13:03 --

Uso de Gadgets.

Por último, y como información anexa, lo siguiente.

El chico que infecto con su pendrive mi PC, usa un smartphone y lo conecta en su notebook. Y ésto me hace caer en la cuenta del uso de gadgets en general en las computadoras.

En mi primer post cuento de un chico que en la web se quejaba de que llevaba un año infectado con éste virus (autorun/recycler), y no podía eliminarlo. ¡Ésta debe ser la razón!

Para eliminarlo, no solo hay que limpiar el PC, también los pendrives... y aquí lo importante... Un gadget (con su SO propio, incluso), para Windows no es más que un pendrive superdesarrollado. El SO lo vé solo como otro medio de "almacenamiento extraíble"... otro pendrive. Así de sencillo...

Si la PC está infectada, y conectas un gadget (MP3, MP4, cámara digital -fotos y/o video-, smartphone)... éste se infectará. Quizás no el dispositivo mismo... pero probablemente si la tarjeta de memoria de éste.

Para el gadget, el virus será sólo un archivo... no se va a ejecutar ni nada. Pero cuando lo conectes a un PC, aunque tengas instalado el software propietario -Nokia Suite para Windows o lo que sea-, éste va a infectar a ese PC, y así.

Si no limpias también tus gadgets, nunca vas a eliminar un virus de éste tipo... y probablemente infectarás otras computadoras.

Transmití ésto al chicoco en cuestión... Vió su smartphone y... allí estaba. Autorun.inf y su carpeta RECYCLER. La borró de inmediato.

¿A cuántos computadores has conectado tus gadgets? ¿Se te ha ocurrido que debes escanearlos contra los virus de Windows?

Verifícalos... AHORA.

Tron.