Sugerencias para la eliminacion del WORM RORPIAN (W32/Autorun.worm.aabl)

Como sea que han sido varios los usuarios afectados por el worm RORPIAN, malicioso malware que utiliza exploit CPL LNK, ademas de propagarse por comparticiones en la red, y de infectar pendrives creando ficheros de dicho tipo CPL LNK  (como el STUXNET), resumimos los consejos que sugerimos apliquen los afectados y tengan presente los que no lo han sido todavía, dado lo fácil que es infectarse.

Ante todo recordar que es muy importante tener los parches de windows al día, asi como usar el navegador actualizado, como el IE 8  (el 6 ya está abandonado y no editan parches para él, aunque se conozca el agujero, como en este caso)  Y no vale decir que está en un servidor que no se navega … las aplicaciones que se actualizan lo usan automáticamente sin conocimiento del usuario…

Se recuerda que el exploit que usa este malware es el CPL LNK, que en su día ya usó el STUXNET, y que autoejecuta los ficheros de dicho tipo en los pendrives, sin ejecutarlos voluntariamente el usuario y sin que exista AUTORUN.INF que los lance.

Además, si aun teniendo los parches, el usuario pulsa doble click sobre el icono de “carpeta” al respecto, al ser realmente un LNK a un fichero ejecutable, se lanzará el virus instalandose en el ordenador, si aun no estuviera infectado.

Pero ademas tiene la malicia de propagarse por comparticiones en la red, como el Conficker, y si no se configura adecuadamente el antivirus, generalmente, aunque puedan controlar las unidades de Red, como el VirusScan de McAfee, ello viene desactivado para no consumir recursos…  Conviene activarlo en tal caso:

Para que el VirusScan de McAfee evite la propagación de este virus a través de la red, conviene que se active el analisis de unidades de red, del siguiente modo:

Dentro de la Consola de VirusScan, en el ANALIZADOR EN TIEMPO REAL, entrar en TODOS LOS PROCESOS y en la pestaña de ELEMENTOS DE ANALISIS, activar UNIDADES DE RED (es la manera como el Antivirus puede controlar las unidades de Red, no estando activada básicamente dicha opción, para no ralentizar el proceso al consumir bastantes recursos).

Evidentemente si se limpian todos los ordenadores desconectados de la red, antes de volver a conectarlos, ninguno lo podrá propagar, pero dada la facilidad de reinfección por otras vías, conviene protegerlo al máximo, por ello lo indicamos, aunque sea rizar el rizo.

Ya con el ELISTARA actual, 22.95, controlamos los .FON , especialmente para este virus, además de las cadenas de las variantes que nos han enviado, y que McAfee lo controla como:

McAfee-GW-Edition 2010.1C 2011.03.29 W32/Autorun.worm.aabl

Por último aconsejar que para limpiar cada ordenador, se desconecte de la Red, se arranque en MODO SEGURO y se lance el último ELISTARA disponible, y asi con todos, y solo cuando se tengan todos limpios, o a medida que se vayan limpiando, intercontectar los limpiados entre si.

Recordar que una manzana podrida, pudre el cesto …

Si tienen alguna duda al respecto, rogamos nos consulten

saludos

ms, 1-4-2011

ANEXO: Además, como siempre, para evitar la autoejecucion del AUTORUN.INF típico de los virus de pendrive, se recuerda que es muy importante tener aplicado el ELIPEN.EXE en todos los ordenadores y pendrives !   ms.