Antiguo BlogSeguridadWindows

Virus again: método papelera (recycler)

Hoy de nuevo me he topado con un aUtOrUn.inf en uno de mis pendrives, siendo el contenido el siguiente:

Texto eliminado por http://enramos.es/2011/07/13/soy-un-virus/

En la carpeta Earlylife hay un desktop.ini con el siguiente contenido:

Texto eliminado por http://enramos.es/2011/07/13/soy-un-virus/

Este tipo de virus/troyanos utiliza el llamado (o traducido) “método papelera”, que consiste básicamente en, a través del dektop.ini, mostrarnos la papelera de reciclaje de nuestro sistema en caso de que intentáramos ver el contenido de la carpeta (Early/life en este caso).

He probado a pasarle el clamav al archivo UpDaTe.exe con objeto de ver de que “tipo de virus” se trata, pero no me ha detectado nada, por lo que de momento no se lo que hace, pero hay antecedentes de troyanos tipo recycler que permiten tomar cierto control de la máquina infectada y ocasionan cortes de internet, cuelgues inesperados, etc…. casualmente algunos de los síntomas que se están experimentando en en lugar en el que he “capturado” dicho ejemplar….

[Actualización]

Al final para ver de que tipo de virus se trata, he optado por utilizar unos servicios online que permiten cargar un archivo para que sea examinado con diversos motores antivirus y en efecto, posee código malicioso, como era de esperar.

Los servicios que he encontrado (y probado) son virustotal.com y virusscan.jotti.org y los resultados obtenidos han sido este y este. Lo extraño (o no), es que los equipos infectados tienen el Panda, y según estas webs el panda sí reconoce este tipo de virus/troyano.

Además por curiosidad he ojeado el ejecutable con un editor hexadecimal para ver si era capaz de obtener información interesante, y de lo poco que he conseguido deducir es una referencia a C:WINDOWSsystem32msvbvm60.dll, aunque no se si será por haber sido esta “alterada” o simplemente por ser utilizada por el ejecutable…

En resumen, que habría que probar a desinfectarlo utilizando diversos antivirus o bien buscando el procedimiento “manual”, lo cual creo que voy a obviar y delegar estas tareas a los antivirus que para eso están, y que en parte es lo que podría haber echo desde el principio, pero la verdad es que me apetecía curiosear un poco ^.^

Earlylife