lunes, 17 de marzo de 2008

Troyano u.bat

Reynier Reyes [rreyes33@alumno.uned.es]

En la edición 44 de esta revista publiqué un artículo sobre el virus troyano nideiect.com que al parecer por alguna confusión, no entiendo por qué el nombre que salió fue, ntdelect.com y en varias partes del artículo lo tecleé correctamente, sólo hago esa aclaración para que no se me confunda nadie. Ahora he detectado otro que realmente hace algo parecido pero con muchos otros cambios, en sí el ejecutable "amvo.exe" se mantiene, esta vez no lo detecta el antivirus Avast que fue el que utilicé en esta ocasión, ni tampoco detecta el fichero u.bat que permanece oculto mientras el virus está ejecutándose en el sistema.

La importancia del Registro del Sistema (regedit)

Ya casi no sabía qué hacer, pues el antivirus detectaba los ficheros, "autorun.inf" en todas las unidades y otros 2 ficheros dll dentro de la carpeta Windows, uno de ellos "amvo0.dll", me resultó familiar con respecto al que describí en el artículo de la edición 44, entonces entro en el registro del sistema, la clave "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" donde me encuentro con el valor "amva" con la cadena "C:\Windows\System32\amvo.exe", debemos hacer un clic derecho y luego eliminar para evitar que se inicie de nuevo cuando reinicie la sesión. Esta vez tiene otro tipo de programación porque el otro "amvo.exe" el antivirus lo detectó perfectamente la otra vez, esto lo hice después de haber escaneado dos veces el disco duro completo y observé que pasaba lo mismo, detectaba los mismos ficheros y no el ejecutable. Para eliminarlo se procede a abrir la línea de comandos de Windows "cmd.exe" donde iremos al directorio raíz mediante el comando "cd.." hasta que diga C:\> tecleamos del /f /s /q /a amvo.exe damos Enter y habremos eliminado el archivo de cualquier parte donde se encuentre en la unidad C: (Este comando utilizado de esta forma sólo debemos hacerlo cuando estemos seguros que no hay otro fichero con el mismo nombre en esa unidad que nos haga falta).

Los Ficheros Ocultos

Si ha eliminado de forma manual el ejecutable, entonces deberá eliminar también los demás para que no vuelva a reiniciar la infección, lo hacemos mediante la línea de comandos cmd, como mismo eliminamos "amvo.exe" hacemos lo mismo pero con "amvo0.dll", "autorun.inf" y "u.bat", estos dos últimos son los que se copian constantemente hacia todas las unidades de disco y memorias Flash, por lo que hay que hacer la operación para todas las unidades con esos dos ficheros.

Por lo menos este troyano no es tan fácil de eliminar manualmente, el antivirus Avast con la actualización del 8 de marzo solamente detecta los archivos autorun.inf y amvo0.dll, no tengo idea de si otro antivirus los detecta a todos. Espero que esto sirva de base para ir aprendiendo en el caso que el Antivirus nos falle con su protección porque el virus sea nuevo o porque no esté actualizado.



Artículos relacionados


No hay comentarios: