jueves, 7 de agosto de 2014

Seguridad - Como eliminar el virus de los accesos directos

Hay un virus en particular que esta azotando a las memorias USB desde hace par de años. Lo increíble es que aun este presente.

Este virus, identificado por algunas empresas como el gusano VBS/Jenxcus.DA, lo que hace es que oculta los archivos y directorios de la unidad, cambiándole los atributos a "Archivos de Sistema" 📁 y permite su acceso mediante accesos directos a estos.

El problema es que este acceso directo no va realmente al archivo, sino a un script en Visual Basic oculto en la raíz que reproduce el virus en la memoria y en la PC 💻 que se ejecuta. Luego, para no advertir al usuario, abre el archivo que el usuario deseaba inicialmente.

Veremos en este artículos solo 3 cosas que debemos hacer para sobrevivir a esto y no tener que llegar al extremo de arrojar la memoria al mar.

A. Eliminar el virus
B. Recuperar los archivos
C. Deshabilitar el "Autorun"

A
¿Cómo eliminamos este virus?

Bueno, tenga instalado un buen antivirus y téngalo actualizado. Con el mismo escanee la memoria o unidad removible en cuestión. Elimine mediante el antivirus todo lo que este nos diga que es malware,  ósea, scripts o programas maliciosos, o los archivos infectados.

Yo utilicé Forefront, herramienta de seguridad de Microsoft Essentials, pero con un Avast, AVG, McAfee, Panda o cualquiera que sea bueno y este actualizado se puede hacer.

En este momento ya no tenemos virus en la memoria pero aun no se pueden ver nuestros archivos.


B
Lo segundo es hacer visibles de nuevo nuestros archivos.

Lo primero que hacemos es ingresar al cmd, ubicarnos en nuestra memoria (en mi caso G:), y escribir el siguiente comando

Attrib /d /s -r -h -s *.*

Attrib: Para visualizar o modificar atributos
/d: Para poder procesar carpetas
/s: Para poder procesar subcarpetas
-r: Quitar atributos de solo lectura
-h: Quitar atributos de oculto
-s: Quitar atributos de sistema
*.*: Para archivos de cualquier nombre, con cualquier extension


C
Lo último es deshabilitar el "Autorun".

El principal objetivo de Autorun es proporcionar una respuesta de software a acciones de hardware iniciadas en un equipo. Autorun presenta las siguientes características:

•Doble clic
•Menú contextual
•Reproducción automática

Por lo general, se llama a estas funciones desde medios extraíbles o desde recursos compartidos de red. Durante la reproducción automática, se analiza el archivo Autorun.inf desde el medio. Este archivo especifica los comandos que ejecuta el sistema. Muchas empresas utilizan esta funcionalidad para iniciar los instaladores.

El virus en cuestión y muchos otros usan está funcionalidad para propagarse.

Para deshabilitarlo sigamos estos dos métodos:

Método 1.

1. Haga clic en el botón Inicio, escriba Gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

Permiso de control de cuentas de usuario Si se le pide la contraseña de administrador o que confirme la acción, escriba la contraseña o haga clic en Permitir.

2.En Configuración del equipo, expanda Plantillas administrativas y Componentes de Windows y, a continuación, haga clic en Directivas de reproducción automática.

3. En el panel Detalles, haga doble clic en Desactivar reproducción automática.

4.Haga clic en Habilitada y, a continuación, seleccione Todas las unidades en el cuadro Desactivar reproducción automática para deshabilitar Autorun en todas las unidades.

5.Reinicie el equipo.


Método 2.

1.Haga clic en el botón Inicio, escriba Gpedit.msc en el cuadro Iniciar búsqueda y presione ENTRAR.

2.En Configuración del equipo, expanda Plantillas administrativas y Componentes de Windows y, a continuación, haga clic en Directivas de reproducción automática.

3.En el panel de Detalles, haga doble clic en Comportamiento predeterminado para la ejecución automática.

4.Haga clic en Habilitada y, a continuación, seleccione No ejecutar comandos de ejecución automática en el cuadro Comportamiento predeterminado de Ejecución automática para deshabilitar Ejecución automática en todas las unidades.

5.Reinicie el equipo.

Fuente: ELTECNIQUITO Labs

Sent from my Windows Phone

0 comentarios:

My Tweets

Protegelas.com