Virus Desconocido

[Salao]

Este fin de semana note que tenia problemas con el explorer.exe del XP.
Le pase varios antivirus (Panda, Nod32, Karspersky) todos me decian lo mismo virus desconocido en autorun.inf.

Despues de investigar el fichero origen de la infección se llama nini.exe. y el troyano (creo que es un troyano) se oculta en el fichero lsass.exe y desde aqui se hace con el control del S.O.

los antivirus detectaban el codigo en el autorun.inf de arranque del HD pero no lo detectaban en los dos ficheros que escrito antes. Cualquier dispositivo en el que se pueda escribir me ha quedado infectado (tarjetas de memoria, otros pc de la red) .

Despues de estar todo el fin de semana formateando e instalando de nuevo aplicaciones (todavia sigo) un verdadero coñazo parece que todo vuelve a funcionar.

Advertidos quedais

 

[catalins]

pufff que asco esto de los virus, Gracias y suerte

 

[SPTR]

Para evitar reinfecciones te sugiero que hagas lo siguiente:

1. Si tu SO es XP SP2 o SP3 (si es SP1, omite el paso. Si no es XP, omite el paso), tienes que descargar y aplicar el parche KB950582 de aquí: Detalles de la descarga: Actualización para Windows XP (KB950582)

Cuando lo instales, marca la casilla para NO REINICIAR de momento el equipo y luego le das a FINALIZAR.

2. Inicio EJEUTAR, GPEDIT.MSC y le das a ENTER. (Si tu SO es XP HOME EDITION, esto no funcionará. GPEDIT no está disponible en este sistema. Mira los posts siguientes a este para ver como solventar esto en un XP HOME EDITION).

En el panel de la izquierda, bajo CONFIGURACIÓN DEL EQUIPO, expande PLANTILLAS ADMINISTRATIVAS y luego expande SISTEMA.

En el panel de la derecha, busca DESACTIVAR REPRODUCCIÓN AUTOMÁTICA y le haces doble click.

Se abre una ventana. Selecciona HABILITADA con su botón de radio para activar esa directiva. Después del desplegable que sale, lo expandes y seleccionas TODAS LAS UNIDADES. Al acabar pulsa sobre ACEPTAR para guardar los cambios y cierra GPEDIT.

3. Reinicia el equipo para completar la instalación del parche del paso 1.

4. Listo, a funcionar.

​

¿Qué hace todo esto?

Pues desactiva la reproducción automática (AUTORUN) de CD's y PENDRIVES.

(Que yo sepa no se puede desactivar sólo PENDRIVES sin desactivar CD's/DVD's).

Cuando introducimos un CD/DVD o un PENDRIVE, Windows busca el fichero AUTORUN.INF en su interior para saber qué comandos tiene que ejecutar automáticamente. Por eso al meter un CD de un juego o programa, automáticamente sale un menú para instalarlo, etc., porque Windows lee AUTORUN.INF (un fichero que debe cumplir estándares de Microsoft) y ejecuta los comandos de su interior.

El problema viene con los virus.

Muchos virus aprovechan el fichero AUTORUN.INF para infectar los pens.

Crean un fichero AUTORUN.INF falso con comandos de ejecución al propio virus.

Entonces lo que hace el virus es meter un fichero *.EXE dentro del PEN y meter un AUTORUN.INF que llama a ese EXE cuando se le hace doble click al PEN. Evidentemente, ese .EXE no es más que una copia del propio virus o un fichero creado por él, que está infectado con otro virus.

Por eso muchas veces, con un PEN infectado, al hacerle doble click en MI PC, éste no se abre, porque Windows ejecuta lo que hay dentro del AUTORUN en vez de abrir la ventana que muestra lo que hay dentro.

Los PENDRIVE tienen un tratamiento diferente sobre el AUTORUN que los CD's, pero esto no lo voy a explicar que ya es muy complejo (no se autoejecuta lo que tiene su AUTORUN.INF al pincharlo, sólo se ejecuta al darle doble click al PEN en MI PC, algo que sin embargo sigue siendo áltamente crítico y peligroso, porque el usuario tarde o temprano, le hará al PEN doble click en MI PC para ver su contenido, grabar datos, etc., con lo que resultará infectado por el virus. Aparte de eso también hay otras cosas que no comentaré para no extenderme). Con entender lo que puse arriba, es suficiente.

Además los virus estos que se propagan por los pens y que están tan de moda ahora, suelen establecer el AUTORUN.INF y el EXE que meten dentro en modo OCULTO para no ser visible al explorar el contenido del pen. Si activamos mostrar archivos ocultos y desmarcamos casilla de ocultar archivos de sistema en opciones de carpeta de Windows, podremos verlos. (Son dos opciones, una la de mostrar archivos ocultos y la otra es la casilla de ocultar archivos protegidos por el sistema operativo, que suele estar más abajo de la primera y que hay que desmarcar para ver todos los ficheros, los ocultos y los de sistema, ya que depende del archivo, puede tener atributo OCULTO o atributo de SISTEMA. De ese modo veremos los ficheros con cualquiera de los dos atributos. Aparecerán en el explorer con un tono gris claro, indicando que son archivos con atributo oculto o de sistema).

El paso número 1 hay que aplicarlo a XP SP2 o SP3 porque desde SP2 hay un bug mediante el cuál, haciendo el paso número 2, la reproducción automática no se desactiva correctamente.

En XP SP1, con hacer el paso número 2, era suficiente, pero en el SP2 o 3 hay que instalar el parche porque si no, debido a un bug, el paso número 2 no funcionará correctamente (desactivará el AUTORUN a la inserción [el que se ejecuta al insertar CD/DVD sin tocar nada], pero no desactivará el AUTORUN en doble click [al hacer doble click en la unidad, dentro de MI PC, para ver su contenido]).

Ahora al meter un CD/DVD o hacerle doble click a un PEN, ya no se ejecutará automáticamente (no se lee AUTORUN.INF, por lo tanto no se llevarán las acciones programadas en él), sino que se abre el contenido del PEN o del CD y puedes ver los archivos que hay sin más, sin ejecutar nada. Aunque esté infectado no ejecuta nada, por lo cuál no te infectas "sin querer" (la única manera de infectarse sería ejecutando manualmente el EXE que haya dentro y que tú no hayas puesto ahí ni sepas de donde viene, vamos, siendo tonto y dándole doble click al ejecutable del VIRUS. Esto es complicado que suceda [el darle doble click a ese fichero], más que nada porque suele estar con atributo oculto o de sistema y Windows por defecto no muestra ficheros ocultos o de sistema, así que simplemente, aunque esté infectado, no se verá el EXE dentro, aunque estar esté).

De ese modo ya no tienes que tener miedo, a menos que abras el pen y luego seas tan torpe de darle doble click a un EXE que tú no pusiste ahí y que probablemente sea el virus, como dije en el párrafo anterior.

Incluso así, se pueden desinfectar fácilmente sin antivirus. Si tienes activado lo de mostrar archivos ocultos y de sistema (como dije antes, son dos opciones), y ves un AUTORUN.INF y un EXE por ahí o una carpeta con un EXE dentro que tú no pusiste... (que al estar oculta ya es todavía más sospechosa), entonces será virus. Se seleccionan (con cuidado de no EJECUTAR con doble click), se eliminan y listo, pen limpio hasta que lo vuelvas a enchufar en una máquina infectada.

Y toda esta mierda ocurre porque a Microsoft a veces da asco con las cosas que hace. Todo para tontos pero lleno de virus...

Por defecto no debería venir activado el AUTORUN en los PENDRIVES.

En la documentación TECHNET de Microsoft, se afirma que por defecto viene sólo activado para unidades de CDROM/DVDROM. Que para dispositivos extraíbles no está activado, pero me da a mi que esa información está errónea.

​

Preguntas:

P: He desactivado el AUTORUN como aquí pone, pero ahora meto un CD y como no se ejecuta automáticamente, pues no sé como iniciar el instalador o programa que lleva dentro.

R: Fácil solución. Abre MI PC, entra dentro de la unidad del CD/DVD con doble click y busca el fichero AUTORUN.INF. Hazle doble click y se abrirá con el bloc de notas. Verás una serie de comandos dentro. Busca el que pone "OPEN = blabalbla" (sin comillas) dónde blabalbla será el nombre (y a veces, también incluye la ruta) del programa que antes se ejecutaba automáticamente al meterlo. Fíjate bien ahí y mira qué ejecutable es y dónde está ubicado, que lo pone bien claro después del signo "=" a la derecha de OPEN. Busca ese ejecutable y hazle doble click. Obtendrás el mismo resultado que antes cuando tenías activado el AUTORUN y metías el CD (y se ejecutaba automáticamente).

Además, normalmente todos o casi todos los CD/DVD, suelen tener un fichero SETUP.EXE en raíz que inicia el programa de instalación del mismo. Si no es el caso o no se está seguro, pues hay que mirar dentro del AUTORUN.INF para ver que ejecuta y hacerlo nosotros a mano con doble click.

Parece complicado pero no lo es con un poco de práctica.

Por ejemplo metemos un CD y no sabemos que tenemos que ejecutar, entramos dentro de él, buscamos el fichero AUTORUN.INF (que siempre estará en raíz del disco) y lo abrimos con doble click. Entonces veremos algo como esto:

[autorun]
[B]open=[COLOR=Red][U]Autorun.exe[/U][/COLOR][/B]
Icon=godfather.exe
Name=The Godfather The Game

[Special]
Disk=1
ProductGuiID={1D2CF076-A63F-41A5-00A1-5924FADFAD9D}

Cómo véis en este ejemplo, dentro de AUTORUN.INF, lo que he marcado en ROJO es el ejecutable que tenemos que buscar y ejecutar.

Está en raíz del CD porque no tiene ninguna ruta delante.

En este caso, el fichero AUTORUN.EXE es el fichero que se ejecuta automáticamente al meter el CD, así que es el que nosotros debemos buscar y ejecutar con doble click.


​

Espero que haya quedado bastante claro después de todo este tocho y palizón que me he pegado. Dejar claro que esto no es copy&paste de Internet, mi rato me ha costado escribirlo y ojalá sea de ayuda a muchos para evitar la lacra de las infecciones a través de los pendrives, aparte de desactivar el molesto autorun al meter un CD/DVD, que a mi por ejemplo, no me gusta nada que se abran ventanas sólas al meter un CD/DVD cuando estoy trabajando en otra cosa. Prefiero abrirlo yo a mano, al estilo de "la vieja escuela".

-------------------------------------------------------------------------------------------------------
​

--- © Mini-tutorial by SPTR ---
(Si este manual se copia a otra parte, pedir permiso y luego citar a su autor)

-------------------------------------------------------------------------------------------------------

​

 

[Salao]

Para evitar reinfecciones te sugiero que hagas lo siguiente:

1. Si tu SO es XP SP2 o SP3 (si es SP1, omite el paso. Si no es XP, omite el paso), tienes que descargar y aplicar el parche KB950582 de aquí: Detalles de la descarga: Actualización para Windows XP (KB950582)

Cuando lo instales, marca la casilla para NO REINICIAR de momento el equipo y luego le das a FINALIZAR.

2. Inicio EJEUTAR, GPEDIT.MSC y le das a ENTER. (Si tu SO es XP HOME EDITION, esto no funcionará. GPEDIT no está disponible en este sistema. Mira los posts siguientes a este para ver como solventar esto en un XP HOME EDITION).

En el panel de la izquierda, bajo CONFIGURACIÓN DEL EQUIPO, expande PLANTILLAS ADMINISTRATIVAS y luego expande SISTEMA.

En el panel de la derecha, busca DESACTIVAR REPRODUCCIÓN AUTOMÁTICA y le haces doble click.

Se abre una ventana. Selecciona HABILITADA con su botón de radio para activar esa directiva. Después del desplegable que sale, lo expandes y seleccionas TODAS LAS UNIDADES. Al acabar pulsa sobre ACEPTAR para guardar los cambios y cierra GPEDIT.

3. Reinicia el equipo para completar la instalación del parche del paso 1.

4. Listo, a funcionar.

......

blablablabla
​

Como siempre SPTR tus condejos son magistrales.
Ya habia visto los autorun.inf del pendrive y al cambiar el icono que se muestra, me empece a mosquear.

Se que hay algunos SO de XP "tuneados" como el Paradise.

Aprovechando de tu conocimiento ¿Cual me recomendarias?

 

[Alfa156]

Juer, SPTR, ese post es digno de ARCHIVO :xray:... lo voy a hacer esta noche en las dos máquinas SP3 que tengo en casa.

De hecho, hace poco mi señora pinchó un pen infectado, y por suerte el Avast pilló el bicho. Pero con este remedio, mucho mejor.

Además, a mí me irrita sobremanera que los CD's echen a andar solos, porque a veces sólo quiero copiar o ver el contenido y tengo que andar cancelando.

 

[SPTR]

Juer, SPTR, ese post es digno de ARCHIVO :xray:... lo voy a hacer esta noche en las dos máquinas SP3 que tengo en casa.

De hecho, hace poco mi señora pinchó un pen infectado, y por suerte el Avast pilló el bicho. Pero con este remedio, mucho mejor.

Además, a mí me irrita sobremanera que los CD's echen a andar solos, porque a veces sólo quiero copiar o ver el contenido y tengo que andar cancelando.

Hola.

Me alegro que te sirva de ayuda.

Yo es algo que estoy empezando a hacer en todos los PCs que instalo y visito de vez en cuando.

Voy a dejarlo ahí un rato o subir a chincheta y luego lo copiaré al archivo.

 

[SPTR]

Como siempre SPTR tus condejos son magistrales.
Ya habia visto los autorun.inf del pendrive y al cambiar el icono que se muestra, me empece a mosquear.

Se que hay algunos SO de XP "tuneados" como el Paradise.

Aprovechando de tu conocimiento ¿Cual me recomendarias?

NINGUNO de esos.

Siempre original (o copia de seguridad de original).

 

[YoMuS]

SPTR, tengo el XP Home y no me deja ejecutar el comando gpedit.msc

Edito: Ya he visto que sólo se puede en XP Profesional. Lástima porque es muy interesante eso.

PD: He encontrado ésta guía, http://www.tweakxp.com/article37576.aspx
También deshabilitará los pendrives?

Gracias

 

[Salao]

Nueva información sobre el virus

"En los últimos días se está detectando una infección masiva de ordenadores producida por el gusano Downadup, también conocido como Conficker.
La infección se puede realizar de tres formas:

• Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
• A través de carpetas compartidas en red protegidas con contraseñas débiles.
• A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.

No se descarta que en los próximos días el gusano pueda mutar e intentar acceder a los ordenadores a través de nuevas formas de acceso.
Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.
Los mecanismos de propagación utilizados por Downadup son muy comunes y se basan en la relajación de los usuarios para seguir unas pautas de buenas prácticas. Recomendamos a todos los usuarios que sigan estos consejos para evitar la infección:

• Actualizar el Sistema Operativo, asegurándose especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
• Tener instalado un antivirus actualizado en el ordenador, el siguiente enlace contiene un listado de antivirus de escritorio gratuitos.
• Proteger con contraseñas fuertes las carpetas compartidas (más información sobre las carpetas compartidas para Windows Vista y Windows XP).
• Asegurarse de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello conviene analizarlos con un antivirus actualizado antes de que se ejecute su contenido.
• Para evitar problemas de seguridad y prevenir las infecciones más comunes, seguir nuestros Consejos de Seguridad.

Entre las acciones de Downadup está la de acceder a determinadas direcciones de Internet que tiene en su código, F-Secure ha sacado el siguiente listado de direcciones de control hasta el 31 de enero. El gusano aprovecha el acceso a estas páginas para descargarse otros programas maliciosos, aunque no se descarta que, de este modo, el servidor remoto cree un listado de las direcciones infectadas y que en un futuro se utilicen estos ordenadores comprometidos para crear una red zombie (botnet).

 

[SPTR]

SPTR, tengo el XP Home y no me deja ejecutar el comando gpedit.msc

Edito: Ya he visto que sólo se puede en XP Profesional. Lástima porque es muy interesante eso.

PD: He encontrado ésta guía, TweakXP.com - Disable CD Autorun in XP Home
También deshabilitará los pendrives?

Gracias

Hola.

Como bien dices, con XP HOME EDITION no está disponible GPEDIT.MSC.

Pero no importa, se puede hacer importando este código directamente al registro (que es lo que hace GPEDIT.MSC en segundo plano cuando aplica la directiva):

1. Para ello, crea un archivo nuevo con el BLOC DE NOTAS que contenga este código:​

[B]Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=dword:00000001
"NoDriveTypeAutoRun"=dword:000000ff[/B]

2. Salva el fichero con el nombre que quieras pero con extension .REG. Asegurate de la extensión. No sirve .REG.TXT, debe ser .REG a secas.

3. Una vez salvado como tal, cierra bloc de notas y ejecuta el REG haciéndole doble click.

4. Contesta SÍ a la pregunta de importar datos al registro. Acepta todo y listo.

5. Reinicia el equipo y comprueba que el AUTORUN se ha desactivado (por ejemplo metiendo un CD original que antes se ejecuta sólo y comprobando que ahora no lo hace ni al meterlo ni al hacerle doble click en MI PC).

​

Por cierto. El link que propones es parecido a lo que yo pongo aquí, pero el valor del registro que aparece en ese truco, deshabilita sólo los CDROM y no todo como el código que yo he puesto aquí.

 

[YoMuS]

Eso me temía, que sólo servía para CDs. Muchas gracias por tu solución!

 

[El Enfermo]

Que era lo que sucedia? Por que a mi, se me "murió" anteayer... y no habia manera de arrancar el PC.. todo el rato se reiniciaba sin llegar a arrancar.... Vamos... Pt..ita.....
A instalar tooodo de nuevo... y no aprendo y van 3.....