Recycler: posibles problemas

Video sobre cómo saber si tenemos USB infectado por RECYCLER u otros similares

Hace no mucho hicimos una sencilla aplicación para eliminar el troyano RECYCLER de las llaves USB y del disco duro y que puedes descargar directamente desde este enlace. Sin embargo podemos encontrarnos con alguna dificultad para eliminarlo totalmente. Hago, pues, una serie de consideraciones sobre estas dificultades:

1.- la aplicación no elimina el archivo hn.exe (y/o el resto): en algunos ordenadores encontramos que no eliminaba estos archivos. El porqué es fácil: el troyano había entrado con la cuenta abierta de otro usuario con más privilegios y, por lo tanto, no éramos propietarios de estos archivos por lo que no podíamos borrarlos ni modificarlos.

Para saber quién es el propietario de un archivo tenemos que ejecutar la siguiente instrucción dentro del símbolo del sistema (la pantalla negra que iniciamos con Inicio –> Ejecutar –> cmd)

dir /q    (esto muestra el propietario de los archivos normales)

dir /ah /q    (esto muestra el propietario de los archivos ocultos)

Una vez sabemos quién es el usuario que creó estos ficheros, entramos con ese usuario y ejecutamos la aplicación.

2.- El recycler viene con otros nombres ejecutables en el raíz: no sé si es propio o no del recycler pero encuentro gran variedad de nombres que se ejecutan desde el autorun.inf de las memorias USB y siempre quedan en el directorio raíz de la propia memoria y de los discos que infecta. En principio todos estos eliminando el autorun.inf no deberían ser problema porque nunca serían ejecutados, por lo que la aplicación ya escrita los invalida. De cualquier manera si se quieren “ver” y eliminar no hay más que hacer lo siguiente:

attrib     (para ver los ficheros ocultos y no ocultos)

Nos fijamos en aquellos que están etiquetados como SHR y que no son propios del sistema (CONFIG.SYS, IO.SYS, etc, son ficheros del raíz de C y que están bien así, no borrarlos nunca).

Ahora mismo estoy escribiendo en un ordenador que tiene lo siguiente: un fichero autorun.inf, otro 0bobed.exe y otro xsia.bat con atributos SHR y cuyo contenido (el contenido de un archivo de texto se ve así:  type autorun.inf) es el siguiente: [Autorun] open=0bcobed.exe shell\open\Command=0bcobed.exe

es decir, que en el momento en el que se lee el disco llama a este ejecutable…

La manera de eliminarlos es así: attrib -s -h -r autorun.inf attrib -s -h -r 0bcobed.exe attrib -s -h -r xsia.bat del autorun.inf del 0bcobed.exe del xsia.bat

y… ya estaría.

3.- La consola no reconoce el comando taskkill: en este caso no es capaz de eliminar el proceso del explorer por lo que deberíamos hacerlo “manualmente”, es decir, con CTRL+ALT+SUPR eliminamos el proceso “explorer.exe” (lo cual elimina todas las ventanas del explorador de windows) y ejecutamos desde la consola el fichero borra_recycler.bat.

#recycler #troyano