junio 21, 2012

Una pesadilla muy difícil de olvidar

Virus.Win32.Sality.ag
Esta realeza de ingeniería inversa se salta todo tipo de antivirus, y a pesar de que Kasperky lo tiene incluido en su base de datos (el único por el momento), son tantas las variantes que si no está actualizado a la fecha de este artículo, es muy probable que entre a su sistema Windows y haga de las suyas.
El veneno cambia de frasco
wfuqn.exe, ahxtb.pif, afuq.pif, y un largo etc de la familia con extensión pif, son los nombres de bautizo de estos engendros que no tienen buenas intensiones.
Algunas de sus maldades
Primero elimina todos los ejecutables de antivirus existentes (salvo los mediocres) y archivos ejecutables de herramientas y luego infecta todo lo que se le atraviese por delante (mp3, videos, etc). Como de costumbre en la mayoría de los virus actuales, deshabilita el acceso a los archivos de configuración (panel de tareas, regedit, bloquea la ejecución del antivirus, etc, etc).
Todo el arsenal de mygeekside.com (mata_mscs, y sus derivados) es inútil. Formatear el PC tampoco sirve (solo funciona si no tienes unidades lógicas o discos externos. En el caso de tenerlas, es demasiado tarde). 
Iniciar con un LiveCD de Windows o Linux para eliminarlo manualmente (De discos fisicos, logicos, externos, etc) tampoco hace la diferencia. Eliminar las carpetas Recycler y el contenido de System Volume Information no cambiará el resultado y el virus sigue ahí.
Simplemente no se puede eliminar por los metodos tradicionales porque el virus toma instaladores (o archivos exe) al azar dentro del PC y se camufla dentro. Al ejecutarse cualquiera de estos exe, tambien lo hace el virus. Y si tenias algún exe dentro de tus unidades logicas o discos físicos o externos, ya saben que sucederá.
Afortunadamente Kaspersky y AVG sacaron dos herramientas para eliminarlo. No se asusten cuando vea que agarra sus exe y los modifica. En realidad lo que hace es sacarle el virus dejando intacto el exe sin corromperlo.
Tengan mucha paciencia porque si tenian carpetas llenas de ejecutables (juegos flash, programas, etc), va a tardar muchas horas en limpiar todo.
Recomendamos por seguridad deshabilitar el autorun de todas las unidades y correr esta herramienta dos veces para estar seguros (la segunda después del reinicio) y cuando la ejecuten asegurense de tener todos sus dispositivos conectados para que haga la limpieza correctamente y no quede nada sin vacunar.
Lo malo de estas herramientas es que no limpian los exe infectados dentro de las carpetas en los dispositivos externos usb (solo la raíz)
Maravento, Actualizado en: 16:59
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify