Fwd: OT: Virus Windows + Linux

To: lista-debian <debian-user-spanish@lists.debian.org>
Subject: Fwd: OT: Virus Windows + Linux
From: Felix Perez <felix.listadebian@gmail.com>
Date: Fri, 9 Sep 2011 11:30:38 -0400
Message-id: <[🔎] CAAiZAx6rSn2STpf2MK+uncUZ3qfRfSzdbgaeDTDuqR64je7_Ag@mail.gmail.com>
In-reply-to: <4E6A20A4.7080204@infomed.sld.cu>
References: <[🔎] 2BCEEF2AB5974223A3F1059390FE3485@eicc.citricos.cu> <[🔎] CAAiZAx6ESy5O_qNKuLMS0YOVhGkX98jtcK1J0mOjKa8QqtXXRg@mail.gmail.com> <[🔎] CA+2CAD0xgOCMsPyDVALzWARLirozfTJ1Y6ZJMYofAXOsSSqpJg@mail.gmail.com> <[🔎] E013E108C5A24E3BB8A7DFEE854E0892@eicc.citricos.cu> <[🔎] CAAiZAx5GgCxhUPPJFQPro0SVCDH0y4Ua8dzX=v7PsdmuafqLXA@mail.gmail.com> <4E6A20A4.7080204@infomed.sld.cu>

Reenvío a la lista.


---------- Mensaje reenviado ----------
De: Paradix ;) <raynerl@infomed.sld.cu>
Fecha: 9 de septiembre de 2011 11:20
Asunto: Re: OT: Virus Windows + Linux
Para: Felix Perez <felix.listadebian@gmail.com>


El 09/09/2011 10:16, Felix Perez escribió:
>
> El día 9 de septiembre de 2011 11:02, Ismael L. Donis Garcia
> <ismael@citricos.co.cu>  escribió:
>>
>> ----- Original Message -----
>> From: skorky duarte
>> To: Felix Perez
>> Cc: lista-debian
>> Sent: Friday, September 09, 2011 9:21 AM
>> Subject: Re: OT: Virus Windows + Linux
>> o.O
>>
>> El 9 de septiembre de 2011 08:44, Felix Perez<felix.listadebian@gmail.com>
>> escribió:
>>>
>>> El día 9 de septiembre de 2011 10:03, Ismael L. Donis Garcia
>>> <ismael@citricos.co.cu>  escribió:
>>
>> o.O o AAA porque la verdad que WTF?????? no dice nada que yo entienda.
>>
>> Se me olvidó decir que el virus se propaga en un archivo llamado
>> usbcheck.exe
>>
>
> te refieres a esto:
>
> USBCheck.exe es el nombre del archivo responsable de la rotura de
> miles de HDD de todas las marcas reconocidas, es un virus que se
> propaga por las unidades USB aprovechando la vulnerabilidad de Windows
> de auto ejecución de archivos (Autorun.inf).
> EL CONTAGIO:
> Al insertar una unidad extraíble contaminada el programa auto ejecuta
> el fichero oculto USBCheck.exe por mediación del archivo autorun.inf
> como se describe en la imagen. (la ejecución automática no ocurre en
> sistemas que tengan deshabilitada esta opción, solo se activa al
> ejecutar manualmente la aplicación.)
> Una vez infectada la PC el virus se hace una copia en la carpeta
> Windows con el nombre de svchost.exe (simulando un proceso del
> sistema), esto permite que sea difícil finalizar el proceso desde el
> Administrador de Tareas y pase inadvertido por la mayoría de los
> usuarios, puede ser identificado ya que es el único proceso
> svchost.exe que se ejecuta con privilegios de usuario en vez de
> sistema.
> Como suele ocurrir el programa deja su huella en el Registro de
> Windows, específicamente en la cadena:
> HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
> Modifica el valor “Shell” agregándole seguido del explorer.exe la
> ubicación del virus (svchost.exe)
> De este modo se garantiza que sea ejecutado cada vez que reinicia el
> sistema como si se tratara de un proceso legítimo de Windows.
> El conteo regresivo del virus se almacena en esta cadena:
> HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1
> PROPAGACIÓN
> Cuando el programa reside en memoria vigila cada nueva unidad
> extraíble conectada y le crea sus clones en las raíces de las mismas:
> USBCheck.exe y autorun.inf.
> El virus por si solo no produce ninguna acción visible en los primeros
> días, solo que va haciendo un conteo regresivo en el registro de
> Windows hasta llegada la fecha programada para lanzar su ataque final.
> EL ATAQUE:
> Luego de pasar varios días en el ordenador y haber cumplido su misión
> de auto propagación en varias memorias extraíbles el programa se
> prepara para lanzar un ataque a todos los discos físicos conectados a
> la PC.
> Antes del último reinicio del sistema crea dos archivos en la raíz de
> C:\ con el nombre reco.bin y reco.sys.
> Estos ficheros conforman un pequeño sistema operativo basado en Linux
> cuya función es ejecutar el código del virus antes que Windows, de
> esta manera el virus tiene plena libertad para operar directamente con
> el hardware de la PC sin ser detectado por ningún programa antivirus
> ni bloqueado por el propio Windows.
> El archivo reco.bin da las instrucciones para desatar el virus con el
> siguiente llamado a su compañero reco.sys:
> Una vez ejecutado el mini sistema reco.sys el virus identifica todos
> los discos duros (HDD) conectados al ordenador sean IDE o SATA y
> procede a la fase de bloqueo con contraseña (ATA PASSWORD)
> De forma simplificada explico su funcionamiento:
> Todos los HDD tienen una protección adicional establecida como nivel
> de seguridad por el fabricante para poder proteger la información de
> las unidades en casos de comprometerse la seguridad de algunos
> sistemas que usan en la actualidad este mecanismo, funciona como
> medida de prevención para el acceso a los datos por personas o
> software malintencionado.
> Por defecto los HDD destinados a las PC comercial traen las passwords
> deshabilitadas, el virus aprovecha esta vulnerabilidad para establecer
> una contraseña a nivel de usuario que impide el acceso total a las
> informaciones.
> La mayoría de los programas y herramientas comunes usadas para
> diagnosticar y reparar los HDD no advierten o no saben diferenciar
> cuando un disco se encuentra bloqueado mediante ATA PASSWORD,
> simplemente parece que todos sus sectores están dañados y por tanto el
> usuario da por perdida las informaciones y no tiene ni la más remota
> idea de como volver a recuperarlas.
> RECUPERACIÓN:
> Desbloquear una unidad protegida con contraseña es “casi” imposible de
> lograr, a no ser que conozca la clave de cualquiera de sus dos niveles
> USER o MASTER, pero no se preocupen ya nos hemos roto la cabeza por
> ustedes y les traemos la solución para remediar el ataque de
> USBCheck.exe y volver a ver todos sus datos intactos.
> En los próximos días estaremos abordando más en este espacio sobre el
> tema, póximamente publicaremos una nueva variedad de píldora digital
> para reparar los HDD dañados...
> HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA:
>
>
si W32.VRBAT es el nombre q le asigno nuestra casa antivirus Segurmatica

--
Paradix  ;)

Haciendo abogacía por el software libre adonde voy

--

Este mensaje le ha llegado mediante el servicio de correo electronico
que ofrece Infomed para respaldar el cumplimiento de las misiones del
Sistema Nacional de Salud. La persona que envia este correo asume el
compromiso de usar el servicio a tales fines y cumplir con las
regulaciones establecidas

Infomed: http://www.sld.cu/



-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Reply to:

References:
- OT: Virus Windows + Linux
  - From: "Ismael L. Donis Garcia" <ismael@citricos.co.cu>
- Re: OT: Virus Windows + Linux
  - From: Felix Perez <felix.listadebian@gmail.com>
- Re: OT: Virus Windows + Linux
  - From: skorky duarte <skorkyduarte@gmail.com>
- Re: OT: Virus Windows + Linux
  - From: "Ismael L. Donis Garcia" <ismael@citricos.co.cu>
- Re: OT: Virus Windows + Linux
  - From: Felix Perez <felix.listadebian@gmail.com>

Prev by Date: Re: OT: Virus Windows + Linux
Next by Date: Re: OT: Virus Windows + Linux
Previous by thread: Re: OT: Virus Windows + Linux
Next by thread: Re: OT: Virus Windows + Linux
Index(es):
- Date
- Thread