Re: OT: Virus Windows + Linux
El día 9 de septiembre de 2011 11:02, Ismael L. Donis Garcia
<ismael@citricos.co.cu> escribió:
> ----- Original Message -----
> From: skorky duarte
> To: Felix Perez
> Cc: lista-debian
> Sent: Friday, September 09, 2011 9:21 AM
> Subject: Re: OT: Virus Windows + Linux
> o.O
>
> El 9 de septiembre de 2011 08:44, Felix Perez <felix.listadebian@gmail.com>
> escribió:
>>
>> El día 9 de septiembre de 2011 10:03, Ismael L. Donis Garcia
>> <ismael@citricos.co.cu> escribió:
>
> o.O o AAA porque la verdad que WTF?????? no dice nada que yo entienda.
>
> Se me olvidó decir que el virus se propaga en un archivo llamado
> usbcheck.exe
>
te refieres a esto:
USBCheck.exe es el nombre del archivo responsable de la rotura de
miles de HDD de todas las marcas reconocidas, es un virus que se
propaga por las unidades USB aprovechando la vulnerabilidad de Windows
de auto ejecución de archivos (Autorun.inf).
EL CONTAGIO:
Al insertar una unidad extraíble contaminada el programa auto ejecuta
el fichero oculto USBCheck.exe por mediación del archivo autorun.inf
como se describe en la imagen. (la ejecución automática no ocurre en
sistemas que tengan deshabilitada esta opción, solo se activa al
ejecutar manualmente la aplicación.)
Una vez infectada la PC el virus se hace una copia en la carpeta
Windows con el nombre de svchost.exe (simulando un proceso del
sistema), esto permite que sea difícil finalizar el proceso desde el
Administrador de Tareas y pase inadvertido por la mayoría de los
usuarios, puede ser identificado ya que es el único proceso
svchost.exe que se ejecuta con privilegios de usuario en vez de
sistema.
Como suele ocurrir el programa deja su huella en el Registro de
Windows, específicamente en la cadena:
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Modifica el valor “Shell” agregándole seguido del explorer.exe la
ubicación del virus (svchost.exe)
De este modo se garantiza que sea ejecutado cada vez que reinicia el
sistema como si se tratara de un proceso legítimo de Windows.
El conteo regresivo del virus se almacena en esta cadena:
HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1
PROPAGACIÓN
Cuando el programa reside en memoria vigila cada nueva unidad
extraíble conectada y le crea sus clones en las raíces de las mismas:
USBCheck.exe y autorun.inf.
El virus por si solo no produce ninguna acción visible en los primeros
días, solo que va haciendo un conteo regresivo en el registro de
Windows hasta llegada la fecha programada para lanzar su ataque final.
EL ATAQUE:
Luego de pasar varios días en el ordenador y haber cumplido su misión
de auto propagación en varias memorias extraíbles el programa se
prepara para lanzar un ataque a todos los discos físicos conectados a
la PC.
Antes del último reinicio del sistema crea dos archivos en la raíz de
C:\ con el nombre reco.bin y reco.sys.
Estos ficheros conforman un pequeño sistema operativo basado en Linux
cuya función es ejecutar el código del virus antes que Windows, de
esta manera el virus tiene plena libertad para operar directamente con
el hardware de la PC sin ser detectado por ningún programa antivirus
ni bloqueado por el propio Windows.
El archivo reco.bin da las instrucciones para desatar el virus con el
siguiente llamado a su compañero reco.sys:
Una vez ejecutado el mini sistema reco.sys el virus identifica todos
los discos duros (HDD) conectados al ordenador sean IDE o SATA y
procede a la fase de bloqueo con contraseña (ATA PASSWORD)
De forma simplificada explico su funcionamiento:
Todos los HDD tienen una protección adicional establecida como nivel
de seguridad por el fabricante para poder proteger la información de
las unidades en casos de comprometerse la seguridad de algunos
sistemas que usan en la actualidad este mecanismo, funciona como
medida de prevención para el acceso a los datos por personas o
software malintencionado.
Por defecto los HDD destinados a las PC comercial traen las passwords
deshabilitadas, el virus aprovecha esta vulnerabilidad para establecer
una contraseña a nivel de usuario que impide el acceso total a las
informaciones.
La mayoría de los programas y herramientas comunes usadas para
diagnosticar y reparar los HDD no advierten o no saben diferenciar
cuando un disco se encuentra bloqueado mediante ATA PASSWORD,
simplemente parece que todos sus sectores están dañados y por tanto el
usuario da por perdida las informaciones y no tiene ni la más remota
idea de como volver a recuperarlas.
RECUPERACIÓN:
Desbloquear una unidad protegida con contraseña es “casi” imposible de
lograr, a no ser que conozca la clave de cualquiera de sus dos niveles
USER o MASTER, pero no se preocupen ya nos hemos roto la cabeza por
ustedes y les traemos la solución para remediar el ataque de
USBCheck.exe y volver a ver todos sus datos intactos.
En los próximos días estaremos abordando más en este espacio sobre el
tema, póximamente publicaremos una nueva variedad de píldora digital
para reparar los HDD dañados...
HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA:
--
usuario linux #274354
normas de la lista: http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html
Reply to: