VARIANTE DE AUTORUN.VBML que requiere arrancar con LIVECD o cambiando el disco duro como esclavo de un MASTER limpio, y borrar el WINLOGON.EXE

Es un malware sofisticado que impide su fácil eliminacion:

Infecta pendrives y disquetes (a los que accede continuamente) y si tienen carpetas, las oculta con ATTRIB +S+H+R  y

crea lnk con sus nombres apuntando a:

“%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandlerh3ojKiH9lvFefFO0mG6HlXplgLV3LYYuVHdaRr3dtLhEN80DniEPQXQY2sziakx2axTnS4SA044lSPkbMnv9Qm\83mrVQ31rdBHh9hfKJ9v0gt5z3m0s5hP0.exe”
·  Detiene los procesos de ventana de propiedades y borrado de ficheros,

·  Si se detiene el proceso vírico en memoria, se reinicia el sistema.

·  Intercepta por nombre la ejecucion de mas de 600 ficheros

·  Oculta los ficheros de sistema, las extenciones de los ficheros, el acceso a Opciones de carpeta y el Inicio/Ejecutar

·  Deshabilirta la restauracion e sistema

·  Modifica las paginas de >Inicio y Busqueda del IE

·  El fichero que usa como gusano es “C:\Documents and Settings\Administrador\Administrador1\winlogon.exe\”

Si bien los pendrives ya quedan desactivados al ejecutar el ELISTARA o protegerlos con el ELIPEN, debido a la inutilizacion del AUTORUN.INF, en cambio la infeccion de dicho engendro en los PC requiere eliminar el fichero gusano indicado, y al no poder detener el proceso virico por ocasionar un reinicio, o bien se arranca con un LIVECD para que no esté en marcha el proceso virico en cuestion, y tras eliminar el fichero manualmente, ya se podrá ejecutar el ELISTARA para eliminar el resto del virus, o se coloca el disco duro como esclavo de un MASTER limpio, y asi se podrá hacer lo mismo que arrancando con un LIVECD.  De lo contrario es inaccesible.

Si se tienen signos de dicha anomalia, y los intentos de desinfeccion presentan reinicios del ordenador, ver si en el fichero HOSTS hay mas de 600 entradas como estas:
208.109.220.95 viabcp.com
208.109.220.95 www.viabcp.com
208.109.220.95 bcpzonasegura.viabcp.com
174.123.156.205 www.produbanco.com
174.123.156.205 produbanco.com
174.123.156.205 www.pichincha.com
174.123.156.205 pichincha.com
174.123.156.205 wwwp1.pichincha.com
174.123.156.205 wwwp2.pichincha.com
174.123.156.205 wwwp3.pichincha.com
174.123.156.205 wwwp4.pichincha.com
174.123.156.205 wwww01.pichincha.com
174.123.156.205 wwww02.pichincha.com
174.123.156.205 wwww03.pichincha.com
174.123.156.205 wwww04.pichincha.com
173.201.254.6 bn.com.pe
173.201.254.6 www.bn.com.pe
173.201.254.6 zonasegura1.bn.com.pe
173.201.254.6 www.zonasegura1.bn.com.pe
173.201.254.6 peliculasid.com
173.201.254.6 www.peliculasid.com
64.117.35.255 iniciorapido.info
64.117.35.255 www.iniciorapido.info
64.117.35.255 buscalo.in
64.117.35.255 www.buscalo.in
64.117.35.255 buscafacil.com
64.117.35.255 www.buscafacil.com
64.117.35.255 emsisoft.com
64.117.35.255 ahnlab.com
64.117.35.255 antivir.es

en tal caso, proceder con lo antes indicado.

Sin arrancar con otro medio limpio de virus, los trucos y medios empleadosm impiden la desinfeccion.

saludos

ms, 15-9-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies