Virus Acceso Directo USB (PenDrive)
En los últimos años se han podido observar repetidas situaciones similares a la de la imagen, donde las USB solo muestran accesos directos de los archivos y carpetas que estaban allí almacenados. Pero, ¿A que se debe?, ¿en que consiste? ,¿es posible recuperar esa información?, ¿Los datos personales son vulnerables ante estas amenazas o solo son infecciones de broma?, ¿Los antivirus pueden detectarlas a tiempo?. Pues bien vamos poco a poco a responder todas estás preguntas y dar solución a este predicamento.
¿Que son?
 |
| Iconos de Ficheros VBS y Microsoft Windows based script host icon |
Estas infecciones son comúnmente archivos escritos en VBScript (Visual Basic Script Edition), los cuales se utilizan en los los sistemas operativos Windows de Microsoft como herramientas de automatización.
Claro está que es una gran idea escribir dichos Malware y Gusanos de red en este tipo de lenguaje por que llevan a pensar a usuarios inexpertos que son ficheros del sistema y por lo tanto eliminarlos recabaría en un grave error.
Otro motivo fundamental es la facilidad para escribirlos, pues no son necesarias muchas lineas de código generarlos. Microsoft ha tratado de solucionar los agujeros de seguridad sin gran éxito, complicando solo el problema.
Otro motivo fundamental es la facilidad para escribirlos, pues no son necesarias muchas lineas de código generarlos. Microsoft ha tratado de solucionar los agujeros de seguridad sin gran éxito, complicando solo el problema.
¿Como Funcionan?
Los archivos originales son ocultados utilizando el atributo H del sistema.
Un usuario promedio al encontrar esta situación, pensaría que esos archivos son los verdaderos, sin embargo estos una vez ejecutados lanzan el malware en milésimas de segundos por lo que no es perceptible a la vista del usuario y luego abre el archivo original, implantando por lo general la infección en la carpeta appdata del sistema en espera de un nuevo huésped.
¿Es posible recuperar la información y eliminar la infección?
Aunque cada día aparecen nuevas versiones cada vez más complejas de este Malware es posible recuperar la información y deshacer las molestias ocasionadas.
La solución mas común para ver el contenido real de las USB y el más expuesto en múltiples foros de la red es usar la consola CMD del sistema.
Paso 1. Con la memoria USB o periférico infectado insertado, se debe presionar la tecla windows (Tecla con logo windows) al mismo tiempo con la tecla R. Esto abrirá una ventana de ejecutar, donde se debe escribir cmd y dar clic en el botón aceptar, lo que abre la consola del sistema.
Paso 3. Al aparecer la letra de la USB seguida de :\> se digita el comando: attrib -s -h -r /s /d *.* y se da a enter. Este comando le regresa las propiedades a los archivos ocultos para que sean visibles. Una vez concluye, reaparecerá la letra de la unidad.
Paso 4. Ahora las carpetas y archivos son visibles. Muchas veces se observan dos carpetas y algunos archivos externos. Una de SytemVolumenInformation y otra sin nombre. En esta última están ocultos los archivos originales junto con carpetas con números (Ej: 463) y archivos desconocidos por el usuario los que deben ser eliminados usando la tecla Shift () + Suprimir lo que dará fin a la infección en la USB.
Con los pasos anteriores se puede librar cualquier periférico de almacenamiento de estas infecciones, pero el equipo seguiría sirviendo de huésped a estás amenazas. Manualmente también se puede lograr eliminar el Malware que se oculta en la carpeta appdata del Sistema.
Paso 1. Al igual que en el anterior, se debe abrir una ventana de ejecutar presionando la tecla windows simultáneamente con la tecla R. Esta vez se escribe %appdata% para equipos con Windows XP; para W7, 8, 8.1 y 10 solo appdata. Lo que abrirá la siguiente ventana:
Paso 3. Una vez ubicada la carpeta se debe ingresar a ella y buscar el archivo con el icono de microsoft windows based script host, dar clic derecho sobre él y seleccionar la opción editar. Lo que desplegara una ventana con diversas opciones, lo único que se debe hacer es activar la opción detener a 1 segundo. Con esto se elimina la infección del equipo. (No se cuenta con imagen de los archivos por el momento).
La infección se presenta como en la primera imagen, bien sea en Una USB, MicroSD, SD, Disco Duro externo o en la memoria de teléfonos móviles o cámaras fotográficas. Una vez insertado el periférico contaminado, el contenido visible son solo accesos directos.
Un usuario promedio al encontrar esta situación, pensaría que esos archivos son los verdaderos, sin embargo estos una vez ejecutados lanzan el malware en milésimas de segundos por lo que no es perceptible a la vista del usuario y luego abre el archivo original, implantando por lo general la infección en la carpeta appdata del sistema en espera de un nuevo huésped.
¿Es posible recuperar la información y eliminar la infección?
Aunque cada día aparecen nuevas versiones cada vez más complejas de este Malware es posible recuperar la información y deshacer las molestias ocasionadas.
La solución mas común para ver el contenido real de las USB y el más expuesto en múltiples foros de la red es usar la consola CMD del sistema.
Paso 1. Con la memoria USB o periférico infectado insertado, se debe presionar la tecla windows (Tecla con logo windows) al mismo tiempo con la tecla R. Esto abrirá una ventana de ejecutar, donde se debe escribir cmd y dar clic en el botón aceptar, lo que abre la consola del sistema.
Paso 2. Una vez abierta la ventana cmd o consola, se debe escribir la letra de la USB seguida de : y presionar enter. Para el caso de la imagen sera la letra f que representa la unidad F:\> del sistema como se ve a continuación.
Paso 3. Al aparecer la letra de la USB seguida de :\> se digita el comando: attrib -s -h -r /s /d *.* y se da a enter. Este comando le regresa las propiedades a los archivos ocultos para que sean visibles. Una vez concluye, reaparecerá la letra de la unidad.
Paso 4. Ahora las carpetas y archivos son visibles. Muchas veces se observan dos carpetas y algunos archivos externos. Una de SytemVolumenInformation y otra sin nombre. En esta última están ocultos los archivos originales junto con carpetas con números (Ej: 463) y archivos desconocidos por el usuario los que deben ser eliminados usando la tecla Shift () + Suprimir lo que dará fin a la infección en la USB.
Con los pasos anteriores se puede librar cualquier periférico de almacenamiento de estas infecciones, pero el equipo seguiría sirviendo de huésped a estás amenazas. Manualmente también se puede lograr eliminar el Malware que se oculta en la carpeta appdata del Sistema.
Paso 1. Al igual que en el anterior, se debe abrir una ventana de ejecutar presionando la tecla windows simultáneamente con la tecla R. Esta vez se escribe %appdata% para equipos con Windows XP; para W7, 8, 8.1 y 10 solo appdata. Lo que abrirá la siguiente ventana:
Lo más común es encontrar la infección en la Carpeta Roaming en una subcarpeta con letras en desorden o números (ej:shjkd), aunque como se ha mencionado antes esta clase de amenazas esta en constante evolución por lo cual podrían solo estar afuera como otra clase de archivo. aunque estos últimos son raros y escasos.
Paso 2. Para lograr visualizar la subcarpeta en Roaming se debe entrar a herramientas de carpetas (para windows XP,VIsta y 7) o en la pestaña vista (Para windows 8 o superior) y activar la propiedad de ver carpetas y archivos ocultos.
 |
| Icono Microsoft Windows Based Script Host |
