enramos

El Blog de Enrique Ramos

Posts etiquetados ‘autorun.inf’

Soy un virus!!!

Publicado por Enrique Ramos en julio 13, 2011

Y todo por publicar determinada información sobre diversos virus que me he ido encontrando en unidades extraíbles infectadas tras haber sido utilizadas en equipos públicos bajo Sistema Operativo Windows…

Por ello no me queda otra opción que eliminar dicha información de las entradas etiquetas con autorun.inf y maldecir a Avast por las visitas que me haya podido quitar por no hablar de la mala imagen que este antivirus le haya podido dar a mi blog así como a wordpress.com, servicio bajo el cual se encuentra este blog.

PD1. Espero que Avast pueda recompensarme de alguna forma ^.^

PD2. Gracias a Saimon por el aviso

Publicado en Seguridad | Etiquetado: , | Deja un Comentario »

Nuevo autorun.inf encontrado (ZLATO\suvo.exe)

Publicado por Enrique Ramos en noviembre 4, 2010

Está comprobado: es conectar un pendrive en un windows “descuidado” para que te lo devuelvan con un autorun.inf

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

He subido el virus a virustotal.com para analizarlo y por lo visto no había sido subido/analizado antes como me ha pasado en otras ocasiones, así que entiendo/imagino que es un virus relativamente nuevo (ver análisis realizado).

De los que más conozco, el único que no lo ha reconocido ha sido Avira Antivir que casualmente es el que me habían recomendado mucho últimamente, de hecho es uno de los que ocupa las primeras posiciones en las últimas comparativas que he leído.

Otro aspecto a destacar es que es detectado por Comodo, el cual hasta donde yo se es de los pocos o de los únicos que es gratuito también para uso comercial, por lo que es viable usarlo en empresas sin estar incumpliendo su licencia, aunque tampoco la he leído y muy posiblemente sea solo una estrategia comercial. De hecho la última vez que lo probé recuerdo haber notado un cambio en la política de gratuito al menos en el pack con firewall, o eso quiero recordar…

Sea como sea lo que no me entiendo muy bien es porqué para cada antivirus el bixito tiene un nombre distinto: con lo fácil que sería bautilizarlo y hacerle un DNIe =)

Mención especial a Clamav por ser el único libre/abierto razón por la que todos deberíamos apostar/apoyar para mejorar/avanzar en su desarrollo. A ver si le incorporan a la versión windows análisis heurístico y entonces ya si que no me planteo alternativa que valga, porque aunque en este caso parece que no lo hubiera detectado, avira antivir tampoco… ¿no?. Por cierto ¿qué antivirus usáis?.

Os dejo las referencias a las últimas comparativas que he ojeado últimamente:

Publicado en Seguridad | Etiquetado: , , | 2 Comentarios »

Virus again: método papelera (recycler)

Publicado por Enrique Ramos en abril 24, 2010

Hoy de nuevo me he topado con un aUtOrUn.inf en uno de mis pendrives, siendo el contenido el siguiente:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

En la carpeta Early\life hay un desktop.ini con el siguiente contenido:

Texto eliminado por http://kikuelo.wordpress.com/2011/07/13/soy-un-virus/

Este tipo de virus/troyanos utiliza el llamado (o traducido) “método papelera”, que consiste básicamente en, a través del dektop.ini, mostrarnos la papelera de reciclaje de nuestro sistema en caso de que intentáramos ver el contenido de la carpeta (Early/life en este caso).

He probado a pasarle el clamav al archivo UpDaTe.exe con objeto de ver de que “tipo de virus” se trata, pero no me ha detectado nada, por lo que de momento no se lo que hace, pero hay antecedentes de troyanos tipo recycler que permiten tomar cierto control de la máquina infectada y ocasionan cortes de internet, cuelgues inesperados, etc…. casualmente algunos de los síntomas que se están experimentando en en lugar en el que he “capturado” dicho ejemplar….

[Actualización]

Al final para ver de que tipo de virus se trata, he optado por utilizar unos servicios online que permiten cargar un archivo para que sea examinado con diversos motores antivirus y en efecto, posee código malicioso, como era de esperar.

Los servicios que he encontrado (y probado) son virustotal.com y virusscan.jotti.org y los resultados obtenidos han sido este y este. Lo extraño (o no), es que los equipos infectados tienen el Panda, y según estas webs el panda sí reconoce este tipo de virus/troyano.

Además por curiosidad he ojeado el ejecutable con un editor hexadecimal para ver si era capaz de obtener información interesante, y de lo poco que he conseguido deducir es una referencia a C:\WINDOWS\system32\msvbvm60.dll, aunque no se si será por haber sido esta “alterada” o simplemente por ser utilizada por el ejecutable…

En resumen, que habría que probar a desinfectarlo utilizando diversos antivirus o bien buscando el procedimiento “manual”, lo cual creo que voy a obviar y delegar estas tareas a los antivirus que para eso están, y que en parte es lo que podría haber echo desde el principio, pero la verdad es que me apetecía curiosear un poco ^.^

Early\life

Publicado en Seguridad, Windows | Etiquetado: , | 2 Comentarios »

¡¡¡Que suerte, tengo un virus!!!

Publicado por Enrique Ramos en noviembre 19, 2009

Bueno, en realidad no es que yo lo tenga, es que me lo he traído en un pendrive para analizarlo y erradicarlo de su lugar de origen :o ) La verdad es que me gusta hacerlo a menudo… cuando se que un equipo está infectado le meto mi llave USB y me lo traigo a casa para verlo con calma, y es que me proporciona una satisfacción enorme meterle un virus al equipo sabiendo que este no se va a inmutar.

Este tipo de virus/troyanos se lanzan a través del archivo autorun.inf y se transfiere a cualquier unidad extraible que insertemos. En Windows (sistema operativo para el cual están desarrollados estos virus), estos archivos no se ven ya que permanecen ocultos como si archivos “de sistema” se tratasen. Incluso algunos de ellos desactivan las opciones de mostrar archivos de sistema y protegidos para así pasar desapercibidos, aunque siempre hay formas de detectarlos. En este caso concreto, fue tan sencillo como que una vez insertado un “pincho” USB, el sistema no dejaba desmontarlo puesto que estaba en uso, seguramente por la transferencia del virus al pendrive y por que parece que el proceso explorer es una parte infectada del equipo.

Publicado en Windows | Etiquetado: , , | 3 Comentarios »

¿Qué dice tu archivo C:\autorun.inf?

Publicado por Enrique Ramos en diciembre 3, 2008

Muchos virus, troyanos, gusanos, spyware y derivados utilizan este archivo para ejecutarse al inicio.

Este archivo generalmente viene por defecto en medios extraíbles como CD’s o USB’s que necesitan ejecutar alguna acción al conectarse (por ejemplo ejecutar alguna aplicación, cargar un icono determinado, etc.)

Sin embargo en nuestro disco duro no es habitual que esté, y si esta posiblemente sea debido a una infección de nuestro sistema. Se trata de una archivo de texto plano por lo que podemos verlo con cualquier editor de textos como es Notepad (Bloc de notas).

Para verlo podemos o bien meternos a mostrar los archivos ocultos y protegidos del sistema para posteriormente abrirlo con un editor de textos, lo cual no siempre funciona ya que me he cruzado con algunos virus que desactivan la opción de mostrar estos archivos ocultos, o bien intentar abrir el archivo a partir de su ruta completa. Para aquellos que desconfíen, decirles que abrir un archivo de texto con un editor de textos no ejecuta el archivo, solo lo muestra. No obstante debería darte igual, puesto que ya tienes el autorun.inf seguramente sea porque ya estás infectado y más que ejecutado.

Para abrirlo directamente con Notepad podemos usar dos formas:

  1. Abrimos el notepad, en menú elegimos archivo abrir y en el título escribimos la ruta completa: C:\autorun.inf
  2. En la opción ejecutar del menú (o tecla Win+R) escribimos notepad C:\autorun.inf

En caso de no existir en la primera opción dará simplemente un error de que no lo encuentra mientras que en la segunda nos dirá que no existe y la posibilidad de crearlo, a lo que diremos que no.

Si por el contrario está y muestra “caracteres extraños” es posible que tengamos una pequeña infección y ya tendremos por donde empezar a buscar :o )

Personalmente el último que me he encontrado ejecutaba un archivo llamado fun.xls.exe o algo así (entre otras cosas).

Por último aclarar que el no tener el archivo autorun.inf no significa que no tengamos virus. Además el archivo autorun.inf en sí no es el virus, sino que simplemente es el archivo encargado de ejecutarlo. Además borrar este archivo generalmente no sirve de nada puesto que el registro suele tener entradas para restaurarlo en cada reinicio. No obstante no está de más probar, aunque tampoco sería mala idea ir hacindo copias de seguridad, pasando diversos antivirus y spyware e incluso preparando una nueva instalación puesto que en muchos casos el sistema no se vuelve a restaurar al 100% tras una infección.

[es.wikipedia.org] ~$ Autorun

Publicado en Seguridad, Windows | Etiquetado: , | 3 Comentarios »

Windows me parece patético… y los antivirus

Publicado por Enrique Ramos en junio 17, 2008

Llevo unos días peleándome con un ordenador que me han traído con Windows XP. Aunque creo en la necesidad de formatear de forma periódica un equipo con Windows para un correcto funcionamiento (recordemos que según EULA un Windows XP solo nos garantiza que funcionará durante 90 días), en este caso había decidido probar otras técnicas.

Lo primero que probé fue a pasarle un antivirus, como es el Comodo Antivirus y algún otro programa como el CCleaner. Se borraron un montón de virus, troyanos, malware, adware y yo que se que más fauna Windosera.

A partir de ahí, la red dejó de funcionar diciendo no detectar la presencia de cable, pero además seguía habiendo virus que el Comodo Firewall me bloqueaba pero no desinfectaba por no conocer, por no hablar de pantallas varias de errores varios…. Windows es así.

Entonces probé a “reinstalar” la instalación existente de Windows utilizando el CD, pero la cosa tampoco funcionó. Mucho borrar y copiar archivos pero los problemas no se habían solucionado.

Entonces pensé en hacer una nueva instalación de Windows en una partición que tenía el disco duro (D:), al cual le instalé en esta ocasión el antivirus Avast (por probar otro distinto), que de nuevo me realizó un escáner en las dos particiones encontrando nuevos virus.

Después, y cuando ya me creía que estaría correcto, me empieza a dar nuevos fallos extraños. Si intento abrir una unidad de disco me pregunta con que programa lo quiero abrir, con lo que tengo que ir a Windows/explorer.exe con la pega de que no me deja recordarlo, por lo que entiendo que sería así de por vida. Busco por Internet y me dice que son secuelas de virus, que busque el autorun.inf en los archivos ocultos, y es entonces cuando me doy cuenta de que no me deja mostrar los archivos ocultos, ya que me hace caso omiso. Además, la nueva instalación me la había hecho en D: lo cual tiene bastantes problemas en Windows porque muchos programas directamente están hechos para trabajar con esa unidad y ya alguna vez probé a cambiarla y entonces peta por todos lados.

Al final he decidido comprar un nuevo disco duro, y hacer una instalación nueva ahí. La verdad es que no se si funcionará, aunque supongo que no, porque Windows no funciona!!!. Es una estafa y todos los informáticos que hayamos probado otras soluciones lo sabemos. Otra cosa muy distinta es que les interese el software comercial, no se porque razón, seguramente para hacer mierdas de programas que si o si buscan la unidad C: para instalarse y configurarse.

Decir que antes de dar este paso estoy pasando un nuevo antivirus, en este ultimo caso el AVG, que me está detectando nuevos virus, que ni el Comodo ni el Avast me habían detectado. Con esto no quiero decir que el AVG sea el mejor, ya que estoy totalmente convencido de que el orden no altera el producto.

Esto lo he hecho ara hacer un favor, pero intentaré nunca más coger un equipo con Windows. Si me vuelve a llegar un caso así lo cojo con la condición de dárselo con Linux, lo tomas o lo dejas, pero a mí no me jodas mas… he dicho.

PD. Cada instalación de Windows, consume al menos una hora de tiempo, y después hay que conectar a Windows Update para actualizar el sistema, lo cual puede consumir como mínimo medio día de tiempo. Por no hablar de controladores y drivers, que no instala, teniendo que estar buscando programas del tipo de Everest, para conocer que componentes lleva el equipo, buscar drivers en la web oficial, descargarlos e instalarlos, por no hablar de lo pelado que va el sistema operativo, que no lleva ni paquete ofimático, software de diseño, edición de audio y vídeo, compresor, codecs, mensajería instantanea, reproductor de audio y video (windows media es bazofia), navegador (internet explorer es peoer) y un largo etcetera.

¿O acaso a alguien le puede entrar en la cabeza que se le entregue un equipo a un cliente/amigo sin ningún tipo de aplicación/utilidad con la cual poder sacarle partido al ordenador?.

Publicado en Microsoft, Servicio Técnico | Etiquetado: , , , | Deja un Comentario »

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 5.930 seguidores