
En mi trabajo se han presentado varias computadoras con el virus recycler, por tal razón me he puesto a investigar al respecto.
En google he encontrado lo siguiente:
Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.
Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
Para poder eliminar a vírus encontré dos formas:
conecta tu usb a tu pc!
mante apretada la tecla “Shift” (la de la flecha hacia arriba)
* (nunca la sueltes)
y te bajas este programa…
y lo ejecutas con el usb conectado y la tecla shift apretada..
ejecutas el programa..
despues de 5 segundos sueltas la tecla shift, y dejas que el programa siga trabajando.
La Segunda forma que he encontrado es la siguiente:
Eliminar virus Recycler
- Abrir una consola de comandos (cmd.exe)
- Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe- Tipear:
cd \Recycler- Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013- Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa- Abrir el explorador de windows tipeando en la consola:
explorer.exe.- Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}.
Pueden ver mas información en: Análisis del Virus RECYCLER
Les recomiendo agregar MyGeekSide a sus favoritos para posibles futuras infecciones creanme que ahi encontraran la solución.
0 comments
Publicar un comentario