miércoles, 4 de febrero de 2009

Virus de Usb drives (viewfiles.exe)

Bueno la verdad es que este blog es tan nuevo que la primera entrada lleva 5minutos publicada y ya quiero poner algo más, asi que les contare la penosa historia de mi pobre laptop y como arregle el problema.

Hace no mas de 2 meses tuve que formatear mi equipo, es una laptop vaio ya con algo de kilometraje, 512Mb, Celeron M corriendo XP, esta tan lenta y llena de cosas asi que formatear parecia la solución mas rápida, tenia uno que otro virus que un compañero me había pasado por flash drive de usb una vez que le presete mi laptop, ademas que tener 3 particiones para tener mi linux y una particion de datos fat32 que siempre dejo vivo en un equipo con HD de 40Gb es un crimen.

Asi que me decidi a formatear a la pobre laptop, dejar solo win xp en mi compu, sonaba como un crimen cada que lo pensaba, pero con un HD tan pequeño me decidi. Formate la computadora y pase por el tedioso proceso de volver a instalar todo el software que uso, los drivers, pasar mis datos, etc. Entonces recuerdo que tenia muchas cosas en la particion de datos que no borre, lo primero que pense es FUCK!! el virus se ha de haber metido en esa particion y sigue vivo, pero como no veia señas de infección, me dije estas loco. Al dia siguiente oh sorpresa mi disco duro aparece como una carpeta, no lo puedo abrir haciendo doble click, que esta pasando.

Sin pensarlo 2 veces me dije ese virus sorbevivio y me sigue molestando, asi que como buen geek me dije, ese virus no me va a ganar, entre a mi particion de windows haciendo explorar en vez de dar doble click. Una vez adentro me dirijo a activar los ver los archivos ocultos y oh sorpresa no se muestran, este virus se ve dificil de roer.

En vista de que este virus se ponia dificil abri el task manager, pero no veia nada raro, todos los procesos parecian normales, el csrss, cftmon, lsass, smss, wuaclt, alg, todos servicios conocidos, entonces que estaba pasando, me diriji a abrir un programa start>run>"msconfig" este programa que "out of the box" (o sea que ya viene asi de fábrica) con win xp te muestra los procesos que se corren cuando tu computadora inicia, estuve viendo pero todo parecia normal tambien, que estaba sucediendo?

Entonces me dije esto requiere un analisis mas afondo, abri un programa que uso habitualmente para limpiar mi computadora de basura, el Ace Utilities este limpia el registro de llaves invalidas, los archivos temporales, cookies, etc, este tambien me muestra todas las entradas de servicios, programas, y hasta dlls que se corren al iniciar windows, resulta que habia una entrada señalada como nueva, que extraño porque el "lsass" esta señalado como recien agregado, este proceso es normal de windows y se encarga del manejo de la seguridad local, como autentifacación de usuarios y otras cosas, entonces porque esta marcado como nuevo? como no queria estropear mi recien formateado windows deje esa entrada intacta y prosegui.

Un par de dias deje la busqueda y aprendir a vivir con el virus, abria mi disco desde el explorador, y cuando iniciaba la compu, cerraba y abria el explorer.exe ya que funcionaba mal, unos dias despues me harte y me dije es ahora o nunca y fue cuando encontre com habilitar los archivos ocultos.

Procedimiento:

start>run>regedit ENTER
En el regedit navega hasta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
En el panel de la derecha borra la entrada marcada como: CheckedValue
Haz click derecho en el panel derecho en un lugar vacio y selecciona: New>DWORD Value
En el nombre escribe: CheckedValue
En datos escribe: 1

Una vez que hice esto pude ver mis archivos ocultos, (puede ser que necesites reiniciar tu cimputadora antes de ver los cambios) una vez que los puede ver me diriji al root folder de mi disco duro osea al C:\ y con que sorpresa me encuentro un archivo escondido llamado autorun.inf el contenido exacto del archivo no lo tengo pues los borre pero les explicare mas o menos que hace esto y para que sirve.

Muchos cd's con software y usb que utilizan programas para acceder a ellos como u3 y otros utilizan archivos autorun.inf, esto le dice a windows que cuando inserte un disco o un usb drive este debe seguir las instrucciones contenidas en este archivo, es una manera de que se corran los contenidos del usb o del cd sin que tengas que abrirlo tu directamente. El problema era este archivo le decia a mi disco que cada vez que yo diera doble click en el corriera un ejecutable llamado viewfiles.exe como obviamente este no es el explorador de windows borre el autorun.inf y viewfiles.exe y pense que todo seria felicidad y que ya no tendria virus, oh sorpresa cuando reinicie mi equipo, estaba de nuevo. El archivo que elimine estaba de nuevo en mi C:\!!, me dije entonces buscare como quitarlo en internet y me tope con un blog muy interesante llamado mygeekside encontre una entrada donde el mencionaba como eliminar estos virus y amablemente el dejo un script hecho en visual basic que se encarga de eliminar el virus.

Aqui les dejo el link de su blog donde descargar el script, este scipt borra las variants conocidas de este virus y habilita los archivos ocultos:

http://www.mygeekside.com/?p=14

Bueno al final de todo no fue mi script asi que no tomo el credito, si les digo esto despues de correrlo el virus se cerro y borro algunos archivos sin embargo me di cuenta que se agregaba de nuevo cada que prendia la compu y tenia que correr el script todos los dias si habia de querer usar mi laptop sin el asi, que de nuevo deseperado me diriji hacia:

C:\Windows\System32\

en este directorio estan la mayoria de los archivos de sistema necesarios para que windows trabaja correctamente, encontre un archivo que era oculto de de modificación reciente, como no estaba seguro si era de sistema (no parecia) verifique su informacion:

click derecho > propiedades

no contenia informacion del autor en la ultima tab, y el software de Microsft tiene a estar firmado como Microsoft Corporation, etc, asi que tome el archivo lo comprimi y borre el original. De esta forma si fuera de sistema podia regresarlo a su lugar solo lo habia comprimido, pero si era el virus no se podria ejecutar por estar en este estado.

Para mi fortuna una parte de la infección desaparecio pero para eliminarla por completo tuve que ir de nuevo al registro y borrar una ultima llave que era nueva y no deberia estar: el lsass

start>run>regedit ENTER
En el regedit navega hasta: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

borre la entrada marcada como lsass que se hacia pasar por el archivo de sitema de windows y despues de tanto pataleo logre eliminar el virus, si fue un MARTIRIO!!, el virus no era el peor del mundo, no rompio mi sistema, pero era molesto y me gastaba recursos, estas infecciones son comunes, les recomiendo que si tienen este virus que se contagia comunmente de USB drive de algun amigo usen el scritp de la pagina: http://www.mygeekside.com/?p=14 corranlo y si siguen con la infeccion borren la entrada del registro que les mencione arriba y feliz regreso a una computadora sana :) espero les sirva

3 comentarios:

  1. uuuuu yo tengo el mismo estupido virus en mi computadora!!!!! es todo ahora lo matare sin tanto teatro como tu :D

    Ukis anonima

    ResponderEliminar
  2. hey surfer, aki vistandote y dejandote mi comment...ahora si, haber si le das continuidad, no como yo :P

    ResponderEliminar
  3. andaleeeeeeeeeeeeeeeeee pon mas cosas geeks jajajaja te keyoooo

    ResponderEliminar

Deja tu comentario aquí, cuenta que te parecio el artículo o simplemente saluda!