Re: OT: Virus Windows + Linux
----- Original Message -----
From: "Camaleón" <noelamac@gmail.com>
To: <debian-user-spanish@lists.debian.org>
Sent: Friday, September 09, 2011 9:46 AM
Subject: Re: OT: Virus Windows + Linux
El Fri, 09 Sep 2011 09:03:55 -0400, Ismael L. Donis Garcia escribió:
Ante todo perdonen por el off topic, pero creo que por aquí talvez me
puedan ayudar en algo.
Resulta que en cuba se ha propagado un virus que ha atacado a muchas
personas con Windows, aunque Linux no está excepto si te pasas por
ingenuo y lo ejecutas.
¿Un virus multiplataforma? Moooola :-)
Resulta que te instala un pequeño sistema en Linux el cual inicia por
defecto y bloquea el disco duro por lo que no puede iniciar el Windows.
<modo irónico on>
¡¡Hala!! Lo deben de haber desarrollado los mismos que lanzaron el
Stuxnet ¡qué nivel, Maribel!
</modo irónico off>
Incluso si inicias desde un CD el mini Linux inicia de todos modos y
bloque el acceso a los discos duros.
¿No será el linux integrado que tienen algunos portátiles y que usan como
inicio rápido? >>:-)
Ahora mi pregunta, como podría o con que podría modificar el grub que
crea para ver si puedo habilitar para que me de la opción de iniciar o
por el pequeño Linux que instala el virus o por el Windows?
:-DDD
Eso, eso... inicia con el "pequeño linux que instala el virus", verás que
bien.
Ahora hablando en serio, parece que estuvieras contando una película pero
de las malas de "serie B". Si quieres que te tomen en serio tendrás que
dar muuuuchos más datos que se puedan contrastar.
Saludos,
Camaleón
******
Se que datos más dar.
Se propaga a través de un fichero llamado usbcheck.exe que cuando conectas
la memoria infectada en la PC aprovechando el autorun.ini de Windows se
ejecuta o al mandarlo a ejecutar dando doble click en el, si lo mandas a
ejecutar una PC con debian también se instala y te bloque también el acceso
a todos los discos duros que tengas instalados. Así que ojo con esto no
vayan ustedes al poner el bobo.
En Windows una ves instalado te copia un archivo llamado svchost.exe a la
carpeta Windows para garantizar su ejecución, como suele ocurrir el programa
deja su huella en el Registro de Windows, específicamente en la cadena:
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
y modifica el valor Shell agregándole seguido del explorer.exe la ubicación
del virus (svchost.exe), de este modo se garantiza que sea ejecutado cada
vez que reinicia el sistema como si se tratara de un proceso legítimo de
Windows.
El mismo verifica si conectas una memoria usb la cual infecta.
El virus no se desencadena cuando infecta la PC sino que esta latente varios
días para garantizar su propagación para lo cual realiza un conteo de las
veces que se enciende la PC el cual lo almacena en la cadena:
HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1
Una vez que la PC se ha reiniciado se desata el virus el cual identifica
todos los discos duros conectados a la PC, no importa son IDE o SATA , Marca
o Modelo y procede a la fase de bloqueo con contraseña (ATA PASSWORD) lo que
impide el acceso a los discos duros
Al activarse el virus crea en la raíz de los discos duros los archivos
reco.bin y reco.sys
No se que más decir.
Saludos Reiterados
=========
|| ISMAEL ||
=========
Reply to: