Lo prometido es deuda. Como les dije en la edición pasada retomaría la infección y desinfección del troyano ntdelect.com.
He pasado estas últimas ediciones de BlackHat tratando de no publicar, aunque sin dejar de investigar y escribir artículos y códigos. Mientras tanto me he encontrado varias veces con máquinas infectadas por troyanos que, aunque parezcan distintos, les veo a casi todos un funcionamiento muy similar entre si. Tal es el caso del ntdelect.com, netdeiect.com y ntde1ect.com.
Básicamente es un virus cuya forma de propagación es mediante las memorias flash y, aunque en BlackHat se han publicado ya varios artículos ayudando a prevenir las infecciones que se realizan desde estos populares dispositivos, aún muchos continúan dejando oculto los archivos tanto protegidos por el sistema como los que mantienen el atributo de oculto.
En el caso particular del ntdelect.com se suele ver acompañado por un autorun.inf que es quien manda a cargar el ejecutable y este es el que realiza toda la función.
Cuando me topé con el por primera vez confieso que me fue un poco difícil en un principio poder eliminarlo, y el problema es que no es el ntdelect.com como tal el que realiza la infección, sino uno que se encuentra en c:\windows\system32 y de nombre kavo.exe.
No importa cuantas veces se elimine tanto el autorun.inf como el ntdelect.com, siempre se volverá a colocar en la raíz de la unidad desde donde carga el sistema operativo como en la raíz de la memoria.
Para una eliminación efectiva, habrá que ir en primera instancia hasta el registro y desde allí entrar a la clave: HKEYCU\software\microsoft\windows\currentversion\run, que es uno de los tantos lugares del registro desde donde se mandan a cargar las aplicaciones que empezarán a correr desde que encendemos nuestra máquina. El nombre de la clave que debemos eliminar es kava, pero para no cometer errores, debemos asegurarnos que contenga la dirección “c:\windows\system32\kavo.exe”. Una vez hecho esto debemos ir hasta c:\windows\system32 y eliminar el archivo kavo.exe.
Haciendo lo primero estamos evitando que cuando se encienda la máquina el virus comience a correr, y con lo segundo simplemente estamos eliminando al responsable de colocar en la raíz de cada memoria el ntdelect.com.
Black Hat por Email
Black Hat por Feed
No hay comentarios:
Publicar un comentario