Como eliminar el virus de acceso directo USB (Memoria USB, Recycler, VBS, VBE, carpeta oculta ..) ?
Una ola de infecciones reina actualmente, muchísimos ordenadores son tocados en España y en el extranjero.
El laboratorio de análisis viral del editor Antivirus Bitdefender (socio de SosVirus y de UsbFix) sometió a un test este infección.
Este infección tiene varias denominaciones siguiente el antivirus utilizado pero generalmente le damos el dulce nombre de Houdini, Dinihou.
Pero bueno, ahorra, otras infecionnes utilizan el mismo procedimiento, como bondat, jenxcus y la mayoría de la infección de typo VB (VBScript).
La infección :
El vector de propagación se presenta bajo la forma de un periferico Usb.
( Llave Usb, Disco duro externo pero también los telefonos móviles y La cámara de fotos vía sus tarjeta de memoria etc).
A la inserción del periférico contaminado, el contenido visible es completamente clásico, por ejemplo, aquí una captura de una llave USB infectada que contiene dos fotos y un MP3 :
Más abajo el contenido real de la llave usb escondido al usuario :
Anote que sobre los arquivos de derecha (Aquellos que usted ve si el soporte es infectado), hay la presencia de una flecha que estipula que el fichero es un acceso directo, eso puede ser un indicio de infección. ..
El principio de la infección es el siguiente :
En 1 se encuentran los accesos directos trampado que son visible por el usuario y que hacen piensar (ver más alto) que se trata allí de los verdaderos arquivos.
Sin embargo no es nada y estos accesos directos van una vez ejecutados, lanzar el malware (en 2) luego abrir el fichero original
(en 3) que es ocultado al usuario :
Detalles del malware :
El arquivo malware es un VBS (Microsoft Visual Basic Scripting Edition), este tipo de script son corrientemente utilizados por los administradores sistemas de redes para hacer «aplicaciones» ligeras y así automatizar ciertas acciones.
En el caso estudiado aquí, el malware es encapsulado bajo varias formas de codificación que dejan pensar en un sistema de muñecas rusas, esto en el objetivo de camuflarse y de complicar la tarea de detección del Antivirus :
Una vez decodificado en memoria, el malware comienza diversas acciones :
El cybercriminal :
El malware se conecta a su servidor C&C especificándole ciertas informaciones :
- El hwid (número único basado en uno o varios componentes, aquí se trata del número de serie de los discos)
- El nombre del ordenador
- El nombre de la sesión
- El sistema operativo
- La marca del antivirus eventual que estaría instalado
El servidor podrá responder al ordenador de la víctima, varias forma de órdenes son posible.
(A la iniciativa automática o manual del cybercriminal) :
Asi, el cybercriminal puede hacer lo que desea sobre el ordenador de la víctima :
- Robar datos.
- Actualizar el malware.
- Instalar otro malware.
- Suprimir el malware y más …
Más allá del código :
El código VBS integrado en este malware es reutilizado, enriquecido y personalizado por ciertos cybercriminales.
Aquí un tipo de anuncio «Publicidad» por su compra :
>
Esto dio vida a un nuevo malware muy activo en Europa : googleupdate.a3x
Aquí más abajo una captura de una consola de administración dedicada a este tipo de malware
(lo que ve el cybercriminal sobre su pantalla) :
Éste ha sido codificada en Delphi y para permitir al cybercriminal de simplificar las tareas de administración de base.
Aquí es el caso y aunque el código es de un real simplicidad, es sufisante para coromper la seguridad de una organización entera.
Este manera de infiltrarse directamente o indirectamente permite de acceder a un espectro ancho de personas para recuperar informaciones personales como confidenciales con el fin de preparar estrategias y financiar ataques :
Eliminar el virus de acceso directo :
UsbFix en acción :
Asistencia Gratuita
Sostener UsbFix
Usted puede modificar el valor utilizando el slider
Excelente ayuda, ya pensé que había perdido mis archivos!! Muchas gracias!!!
¿como puedo eliminar los accesos directos de las memorias expansibles?. por favor si me pueden ayudar con eso
Hola Candido,
Debe seguir este manual : https://www.usb-antivirus.com/es/2014/03/manual-usbfix-limpiar-sus-unidades-extraibles/
Salu2