Re: [OT] USB infectado Virus Windows - Raro comportamiento
El viernes, 10 jul 2015, a las 12:44 UTC+2 horas,
Javier ArgentinaBBAR escribió:
>El día 9 de julio de 2015, 11:58, Guido Ignacio
><guidoignacio@gmail.com> escribió:
>> Me trajeron un pendrive infectado, hasta ahi ningún problema. Solo
>> cuestión de montarlo, hacer un umount y formatearlo como de costumbre
>> (mkfs.vfat)
>>
>> Lo raro es lo siguiente, cuando me dispongo a hacer un cambio sobre
>> dicho pendrive, el mismo se desconecta solo y vuelve a automontarse,
>> preservando el contenido tal cual lo tenía. Y lo más raro es que si lo
>> repito vuelve a montarse en otro dev, pasa de sdb1 a sdc1 a sdd1 a
>> etc....
>>
>> Parte del log http://pastebin.com/raw.php?i=7zFE1Jjz
>>
>> Lo mismo si borro a mano (rm -rf *) todo su contenido y/o si desde
>> fdisk borro la partición y creo una nueva.
>>
>> Los archivos raros en el pendrive son un autorun.inf que es una
>> carpeta, una carpeta RECYCLER y un salir.bat con este contenido:
>>
>> attrib -h -s -r autorun.inf
>> del autorun.inf
>> mkdir autorun.inf
>> atrrib +r +s autorun.inf
>> dir
>>
>> Alguna idea? la primera vez que me ocurre algo así contra un pendrive.
>> Gracias
>>
>>
>
>Jul 9 11:45:05 shell kernel: [ 1308.052054] usb 2-1: new high-speed
>USB device number 35 using ehci_hcd
>
>El puerto de conexión USB... ¿Versión 2 o 3?
>Pues el pendrive, pareciera ser una memoria flash versión 3, de las
>más nuevitas.
>
>Luego,
>$ lsusb
>Si te aparece un Alcor Micro Corp... vas muerto.
>No es el pendrive, es el controlador.
>
>JAP
>
>
Después de leer tu correo he vuelto a mirar el registro y he visto esto:
scsi 39:0:0:0: Direct-Access Verbatim STORE N GO 5.00 PQ: 0 ANSI: 0 CCS
^^^^^^^^^^^^^^^^^^^
Y resulta que ese tipo de dispositivo solo funciona en Windows según el
fabricante [1]. Me sumo a tu teoría del controlador.
Saludos.
[1]http://www.verbatim.com/prod/usb-drives/everyday-usb-drives/store-n-go-sku-98703/
--
Manolo Díaz
Reply to: