lunes, 3 de noviembre de 2008

Virus x.bat

Alien [blackhat4all@gmail.com]

El virus qe les traigo a colación es uno de esos tantos que a veces se nos quedan escondidos en el disco duro y un día lo encontramos de casualidad y quizás por aburrimiento o por falta de artículo para la edición de la semana nos decidimos a darle solución.

Setrata de x.bat, un fichero de 117 Kb que, según la fecha de modificación, se compiló por última vez el 15 de septiembre del 2008 a las 11:05:00 y no se le redujo el tamaño con UPX.

Cuando se instala en el sistema lo primero que hace es poner una copia de el mismo en la raíz de todas las unidades junto con un autorun.inf (ofuscado). Inmediatamente manda mediante el registro a desactivar la opción de mostrar archivos y carpetas ocultos con lo que asegura pasar por inadvertido ante usuarios inexpertos. Cada 20-25 segundos recorre todas las unidades para darle el atributo de oculto a sus copias en caso de que se le hayan quitado estos atributos.

Asegura su carga en el registro mediante la clave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run : kava con el valor C:\WINDOWS\system32\kavo.exe. Lo que nos indica que es en esa ubicación en la que se encuentra el archivo que realmente se inicia con la máquina.

A diferencia de muchos otros virus, kavo.exe, el que se aloja en system32, no es más que una copia exacta de x.bat, o sea, la única diferencia entre estos está en el nombre que adoptan y en la ruta en que se encuentran, pero todo lo demás es exactamente igual lo que da a entender que el programador (si es que hubo alguno), no dedicó nada de tiempo a crear varios módulos o cosa por el estilo. Pero Kavo.exe no viene solo, se hace acompañar por Kavo0.dll que es de 123 Kb y se crea al momento de la infección.

Es quizás este uno de los más ridículos virus y aún así uno de los que más verciones tiene. Para eliminarlo basta con ir al registro y desde allí eliminar la clave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run : kava y luego en C:\WINDOWS\system32\ eliminar el archivo kavo.exe así como el dll que lo acompaña.

Aún después de ya no tener el virus en la máquina, seguimos sin poder ver los archivos y carpetas ocultos, y es que, como el virus tratado en BlackHat anteriormente, este Kavo se vale del registro para, después de algunos cambios asegurarse de que no podamos volver a restaurar esta parte del sistema. Peropara esto solo tenemos que ior hasta HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL y en el valor CheckedValue colocar un 1.

Nota: Una vez más reitero la importancia de tener no solo un antivirus instalado, sino de aprender a defenderse contra estos programas malignos. En varias ocaciones estos virus pasan desapercibidos antes los programas antivirus, y estamos hasta el cuello cuando pensamos que no tenemos ni uno en la PC.

Son muchos y cada vez más los virus que trabajan de forma muy similar a esta, lo que está haciendo pensar que todos estos no son más que versiones del mismo .exe que se comportan de la misma forma con la única variedad de grabarse con nombres distintos.

Por lo tanto, a menos que la ocación lo amerite, esperamos no volver a escribir sobre este tipo de virus.



Artículos relacionados


1 comentario:

Anónimo dijo...

el archivo"x.com" es el mismo que el q comentas ?? xq en mi computadora aaprece cn este nombre