julio 09, 2013

Andromeda

Un virus está causando estragos en los PC de Latinoamérica con SO Windows. Clasificado como Backdoor, ya lleva años haciendo de las suyas, tiene más nombres que Satanás y a la fecha, de acuerdo a Virus Total, solo unos pocos antivirus pueden detectarlo.
A diferencia de la mayoría de virus, Andrómeda no se aloja en el arranque de Windows, lo cual hace más difícil su detección a simple vista. Si en un equipo contaminado ejecutamos regedit, veremos que en la clave Run no hay nada sospechoso.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Algo similar sucede si ejecutamos msconfig y revisamos la pestaña inicio. Nada que indique su presencia.
Su modus operandi no es igual en cada equipo. Cuando infecta una memoria, desaparece toda la información (siguiendo el patrón de los virus “acceso directo” (.lnk)), con la diferencia de que mueve toda la información del dispositivo usb hacia una carpeta oculta "sin nombre", y deja visible solamente un acceso directo que toma el nombre del dispositivo usb y luego, entre paréntesis, la capacidad del mismo.
Ejemplo: CARLOS (4GB).lnk, ALEIDA (2GB).lnk, TRANSCEND (2GB).lnk, KINGSTON (8GB).lnk etc, y oculta los demás archivos que es donde corre el veneno, comprometiendo seriamente a rundll32.
(C:\WINDOWS\system32\rundll32.exe).
También han aparecido muchas variantes de este virus, como la más reciente JS.Proslikefan.8, que crea una carpeta oculta llamada .Trashes, la cual contiene los archivos eliminados de la raíz.
Este y otros malwares se pueden eliminar de dos maneras:
Con la herramienta Dextroyer: Puede descargarla gratuitamente en el siguiente enlace:

Nota: Para el caso específico de Andrómeda, al ser persistente, debe eliminarse en "Modo Seguro"
Manualmente:
Eliminación en USB
Primero debe desbloquear los archivos en la usb, cambiándole los atributos, luego elimina el virus y su arranque (autorun) y por último, recuperar los datos, renombrando la carpeta sin nombre (alt 016 o alt 255) generada por el virus, por cualquier otra.
Haga lo mismo para la carpeta .Trashes. Tenga especial cuidado con las carpetas a eliminar, ya que Andrómeda, en ocasiones, no transfiere toda la información a la carpeta sin nombre. Si su dispositivo usb tiene partición NTFS no elimine las carpetas $RECYCLE.BIN / RECYCLER para XP y System Volume Information, pero sí vacíe su contenido.
Si no puede eliminar el autorun.inf de la raíz de su dispositivo usb, o cualquier otro archivo, puede desbloquearlo y eliminarlo con el programa Unlocker o cerrar el explorador de windows y reabrirlo (Ctrl+Alt+Supr, Administrador de Tareas, cerrar explorer.exe y luego nueva tarea explorer.exe. También puede reiniciar su Windows en Modo seguro)
Para el caso de la variante JS.Proslikefan.8 debe revisar todas las carpetas, en especial aquellas que tienen como nombre un número de tres digitos y verificar su contenido. En el caso de que detecte la presencia de algún archivo con extensión .js (Javascript) deberá eliminarlo de inmediato.
Si desea agregarle más parámetros de borrado a su script (/p, etc), puede consultarlos AQUI
Eliminación en PC
Lo primero es cerrar con taskmgr cualquier proceso relacionado con Windows Update y Windows Installer (Andrómeda los usa para lanzar su carga útil).
Pero también puede lanzarse como un proceso svchost.exe (*32)
Andrómeda se puede alojar en Program Data
O en una carpeta llamada Local Setting dentro de la cuenta de usuario
O en la carpeta Temp o en cualquier otro lugar. Y puede usar diferentes tipos de archivos y extensiones:
c:\users\usuario\msxry.exe
c:\users\usuario\local setting\temp\ccotce.cmd
c:\ProgramData\local settings\temp\ccjmvywo.src
C:\Users\CULTURA\AppData\Local\Temp\ccqartou.com
Se recomienda variar la papelera de reciclaje, eliminar temporales, utilizar un corrector de registro sistema y verificar los programas que inician con su PC, para desactivar el arranque del malware.
Maravento, Actualizado en: 12:04
Escrito por: Maravento Studio
 
© 2017 Maravento. All Rights Reserved | Powered by Maravento
Design by Novatoz and Maravento | Bloggerized By LawnyDesignz
# https://github.com/google/code-prettify