Otro virus que crea copias en el los pendrives nombre de fichero “raro” (ŠŒ Œ‹šÑŒ†Œ) el cual es lanzado por el AUTORUN.INF

Nos llega otra muestra del gusano KOLAB, del que ya controlamos otras variantes con el ELITRIIP, pero que al infectar el pendrive lo hace de forma muy singular, copiandole un fichero con nombre  muy raro, en carpeta oculta dentro de otra carpeta oculta con propiedades de papelera, como es habitual en este tipo de virus.

En este caso la primera carpeta la crea con el nombre de DRIVER y, dentro de ella, otra oculta con atributos de papelera y el nombre de USB, en la que crea el fichero   ŠŒ Œ‹šÑŒ†Œ   que lanza el AUTORUN.INF

Dicho fichero es copia del gusano que en el disco duro se crea en C:\WINDOWS\WINNSRV.EXE y se instala en el registro, desde donde se lanza en cada reinicio del ordenador.

Con el ELITRIIP >19.19 limpiaremos este virus del ordenador, pero para los pendrives, al ser de nombre ilegible, deberemos usar el ELIPEN, que anulará el AUTORUN.INF, con lo que quedará inutilizado el virus.

Es otra historia de nombres raros ejecutados con OPEN en el AUTORUN.INF …

OPEN=\DRIVER\USB\ŠŒ Œ‹šÑŒ†Œ

Así que con el ELIPEN anularemos el AUTORUN.INF renombrandolo a AUTORUN.INF.OLD, y así se acabará el virus su funcionamiento en dicho pen, ademas de eliminar el mismo virus en el ordenador con el ELITRIIP.

Vemos pues que, como temíamos, no iba a acabar la ejecucón de OPEN=… con la ejecución de .TXT en el AUTORUN.INF, (como decíamos con el BUG del CMD) , y así ha sido…

Cada vez el listón está mas alto …  pero lo vamos superando 🙂

saludos

ms, 3-9-2009