La vuelta de los virus de los disquetes

Recientemente leímos la vuelta de los virus a los nuevos disquetes: las memorias USB. No suelo hacer este tipo de entradas en este blog, pero como acabo de “pegarme” con un virus que traje en mi memoria USB “seguramente” del centro educativo, aquí dejo constancia.

En concreto es el W32.Lineage.KLG.worm. Vino a través de un archivo gy.exe y en otro x2csvg.exe (ambos ejecutables). En casa tengo el Panda Antivirus que fue el que lo cazó y lo eliminó (copias en la memoria USB y también en unas cuantas copias que se intentaban pasar al disco duro). Revisando el informe del Panda, vi que también aparecía en el fichero autorun.inf de la memoria USB.

Este fichero me aparecía oculto, de sistema y de sólo lectura, según la información del comando attrib (desde símbolo de sistema, el MS-DOS, vaya). Leyendo su contenido (pocas líneas) con el comando type, resulta que llamaba al (ya borrado) gy.exe desde el propio lápiz y desde el disco duro de un ordenador potencialmente infectado. Aunque el fichero gy.exe ya no existía en la memoria USB seguía invocando a otro que pudiera estar en el disco duro de otro ordenador, así que decidí borrar sin más el fichero autorun.inf de la memoria USB.

Y claro, el comando del no sirve (es sólo lectura). Como me da por cosas raras decidí abrirlo con un editor hexadecimal. Lo mismo: podía leer el contenido pero no editarlo y por tanto no podía cambiarlo.

Entonces recurrí a Google. Y me encontré en una de las primeras entradas de mi búsqueda un foro en el que hablaba de una maravillosa herramienta “destroza autorun.inf usb para acabar con esos molestos virus” y un enlace a rapidshare para descargártela. Cosa que hice.

Comprimida en rar, antes de hacer nada le pasé (obviamente) el antivirus. Y, vaya vaya, venía con el “regalo” del NirCmd.A, un “programa potencialmente no deseado” según recoge Panda. En resumen, otro código malicioso…

Finalmente accediendo a la información de un blog de más seria aparienciaa y analizando la información que allí venía, me di cuenta de que había dado demasiadas vueltas porque la solución estaba… en la primera herramienta que ya había usado para ver los atributos del fichero autorun.inf, el comando attrib, por supuesto, pero usado no para ver los atributos, sino para modificarlos y seguido de un borrado del archivo…

attrib autorun.inf +a -h -s -r del /s /q /f autorun.inf

La forma de eliminar el archivo gy.exe es la misma:

attrib gy.exe +a -h -s -r del /s /q /f gy.exe

Ah, los largos años alejado del viejo MS-DOS es lo que tiene…

Actualización (23-01-09)

El troyano estaba por los discos duros “sin congelar” de muchos de los ordenadores del aula, así como en varias memorias USB de los alumnos. Además, aparecían (no siempre) estos otros archivos como ocultos, de sistema y de sólo lectura: w98.com, m2nl.bat, j60osk9.cmd, 6fnlpetp.exe y h3.bat.

Todos ellos se pueden eliminar según lo expuesto anteriormente: cambiar primero sus atributos (quitando que sean de sistema, ocultos y de sólo lectura) y luego borrarlos.

Actualización (30-01-09)

Sigue por algunos USB, hoy me he encontrado con estos otros nombres, además de los ya conocidos: 8.bat, ncyrf.bat, iqe68o.bat, todos como ocultos, de sistema y de solo lectura.  Su eliminación es la ya indicada anteriormente.

#virus