Recientemente en el mes de enero comenzó a infectar los ordenadores un troyano, el cual crea en cada unidad de disco duro y memorias flash un par de ficheros que se mantienen ocultos, autorun.inf y ntdelect.com, yo me dediqué a estudiar su comportamiento, uno se percata de que existe porque cuando se hace doble clic en una unidad de disco duro se abre en una ventana nueva.
En realidad ya los antivirus lo detectan con actualizaciones más recientes, como el Avast, Kaspersky y Segurmática, con los cuales lo he eliminado del sistema. El funcionamiento es algo parecido a otros virus que se propagan mediante las memorias flash, pero este tiene algo que lo hace más difícil de eliminar manualmente, y es que crea un fichero de inicio que se ejecuta cuando arranca el sistema, amvo.exe en C:\Windows\System32
A esta explicación cualquiera puede decir que es fácil encontrarla, pero resulta que todos estos ficheros se encuentran ocultos y sólo existe una forma de mostrarlos y es por la consola de Windows, porque en las opciones de carpetas en el menú herramientas no deja "mostrar todos los archivos y carpetas ocultos" y cuando vuelves a abrir esta opción se encuentra en "no mostrar archivos ni carpetas ocultos".
El proceso para mostrar primeramente el fichero "amvo.exe" es entrar en la consola del sistema, para ello vamos a Inicio/Ejecutar... tecleamos "cmd" y aceptamos, ya dentro tecleamos cd.. y presionamos la tecla "Enter" y lo hacemos una vez más para llegar al directorio raíz de esta forma (C:\>) después tecleamos "cd Windows", saldrá (C:\Windows\>) y luego "cd System32", ya dentro de System32 tecleamos lo que hace falta para mostrar el fichero "attrib -r -a -s -h amvo.exe", buscamos con el explorador de Windows este archivo en la carpeta system32 y lo eliminamos, después reiniciamos la sesión ("no hace falta reiniciar el equipo, en caso que haya abiertas otras sesiones sí").
Después que reinicie la sesión, sin abrir ninguna unidad de disco con el explorador de Windows procedemos a eliminar los ficheros de los discos duros con la consola del sistema, en este caso lo explicaré con la unidad "D:\" por lo que tecleamos D: y presionamos "Enter", luego tecleamos "del /p /f /q /a autorun.inf" damos "Enter" donde pedirá una confirmación para lo que presionamos "S" y damos "Enter", lo mismo hacemos para eliminar el archivo "ntdelect.com".
Esta explicación de cómo eliminar el troyano manualmente está muy bien pero después de esto que a nadie se le ocurra restaurar el sistema porque tendrá de nuevo la misma situación, ya que el mismo se encuentra también en la carpeta "System Volume Information" pero no se puede distinguir cual es porque no tiene un nombre, sino una combinación de letras y números.
Hasta aquí he mostrado una forma eficiente de eliminar este troyano para los usuarios que no tengan un antivirus actualizado recientemente o que el antivirus no haya detectado, debe de quedar claro que todo esto se debe hacer por una sesión de administrador. Cualquier duda, me pueden consultar.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario