Los troyanos que se copian a los dispositivos usb, aprovechan el autorun de los dispositivos de almacenamiento para ejecutar programas que se guardan en memoria y se copian asi mismos. Ahora los antivirus no pueden con ellos, y en tal caso en la red se consiguen aplicaciones para troyanos específicos, así que decidí hace tiempo de no buscar con que programa eliminarlos si no matarlos personalmente. En estos días observe uno muy interesante por que hasta se copio en el disco duro de la computadora y estuve como una hora tratando de eliminarlo.
Ahora se preguntaran como lo logre…. Aquí tratare de explicar
Se denomina AutoRun a la capacidad de varios sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o memoria flash. En Windows, los parámetros de autoejecución se definen en un documento de texto sin formato llamado Autorun.inf, que se debe guardar en la carpeta principal de la unidad en cuestión.
Poseen una estructura como la siguiente:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=Nombreicono.extension
No voy a entrar en mucho detalle de cómo programarlo, eso se lo dejamos a los necios que hacen los troyanos, yo no necesito saber mucho de ellos, de todas formas para mas información leer Autorun
Ahora por que hablo del autorun, por que el es el primero en molestar pues corre sin pedir permiso, primero que todo hay que eliminarlo, pero los troyanos vienen escritos para que estén ocultos y no se puedan ver, por eso no hay problema, existe un buen programa llamado ultraedit, el cual permite ver todo tipo de archivos ocultos del sistema y editar cualquiera de ellos.
Ahora viene mi secreto, abrir el ultraedit, y desglosar la unidad donde este la memoria, ubicar el archivo autorun.inf, abrirlo y observar que programas manda a abrir, los que están en las líneas como open=virtus.exe shell\verb\command=Archivo.exe una vez ubicados se deben eliminar de la memoria y borrar el autorun.inf de la memoria, pero esto solo funciona así de fácil para los primeros que salieron como el famoso adober.exe, los nuevos son mas inteligentes y se la pasan rescribiendo siempre, entonces que hacer, primero hay que eliminarlo de la memoria del pc.
Abrir el administrador de procesos CONTROL+ALT+SUPRIMIR y buscar el nombre del programa y terminarlo, peor a veces son mas inteligentes y el que escriben en el autorun solo se encarga de crear el que se copia a la pc y lo hace con otro nombre, por lo que en ocasiones como me paso la semana pasada, tuve que cerrar todos los programas para poder descartar mas fácilmente hasta ver un nombre raro de algo y deducir a reojo que el era el culpable de que se rescribiera tanto pero tanto el autorun en la memoria, era cómico lo borraba y se escribía de inmediato.
Si por fin lo logran logramos algo bueno pero aun falta, siempre se copian en el registro de windows de forma de que cuando la pc cargue se cargue con el sistema y allí esta de nuevo, es necesario en la mayoría de los casos haber parado ese proceso antes del siguiente paso por que si no pasa como en la memoria se sigue escribiendo.
Luego entrar a run y escribir msconfig esta ventana indica todas las cosas que se cargan con la pc, que hacer buscar donde esta y deshabilitarlo, ellos están en la ventana inicio, pero en estos días la maquina que me tomo como una hora eliminarlo era muy inteligente por que no solo se metió en lo de inicio si no que estaba oculto en los de servicios y allí es mas difícil verlo, para ello ordenar por fabricante y sabemos que no es de Microsoft, entonces ver los que quedan…. Ojo en cualquiera que quitemos ver que se deshabilita no valla a ser que carguen su pc sin antivirus por que deshabilitaron el arranque del mismo.
Una vez logrado estos pasos y eliminado de la pc y la memoria reiniciar la maquina, introducir la memoria abrir el ultraedit de nuevo y si el autorun no se volvió a copiar, sorpresa lo hemos logrado….
Saludos
Ahora se preguntaran como lo logre…. Aquí tratare de explicar
Se denomina AutoRun a la capacidad de varios sistemas operativos para ejecutar una acción determinada al insertar un medio extraíble como un CD, DVD o memoria flash. En Windows, los parámetros de autoejecución se definen en un documento de texto sin formato llamado Autorun.inf, que se debe guardar en la carpeta principal de la unidad en cuestión.
Poseen una estructura como la siguiente:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=Nombreicono.extension
No voy a entrar en mucho detalle de cómo programarlo, eso se lo dejamos a los necios que hacen los troyanos, yo no necesito saber mucho de ellos, de todas formas para mas información leer Autorun
Ahora por que hablo del autorun, por que el es el primero en molestar pues corre sin pedir permiso, primero que todo hay que eliminarlo, pero los troyanos vienen escritos para que estén ocultos y no se puedan ver, por eso no hay problema, existe un buen programa llamado ultraedit, el cual permite ver todo tipo de archivos ocultos del sistema y editar cualquiera de ellos.
Ahora viene mi secreto, abrir el ultraedit, y desglosar la unidad donde este la memoria, ubicar el archivo autorun.inf, abrirlo y observar que programas manda a abrir, los que están en las líneas como open=virtus.exe shell\verb\command=Archivo.exe una vez ubicados se deben eliminar de la memoria y borrar el autorun.inf de la memoria, pero esto solo funciona así de fácil para los primeros que salieron como el famoso adober.exe, los nuevos son mas inteligentes y se la pasan rescribiendo siempre, entonces que hacer, primero hay que eliminarlo de la memoria del pc.
Abrir el administrador de procesos CONTROL+ALT+SUPRIMIR y buscar el nombre del programa y terminarlo, peor a veces son mas inteligentes y el que escriben en el autorun solo se encarga de crear el que se copia a la pc y lo hace con otro nombre, por lo que en ocasiones como me paso la semana pasada, tuve que cerrar todos los programas para poder descartar mas fácilmente hasta ver un nombre raro de algo y deducir a reojo que el era el culpable de que se rescribiera tanto pero tanto el autorun en la memoria, era cómico lo borraba y se escribía de inmediato.
Si por fin lo logran logramos algo bueno pero aun falta, siempre se copian en el registro de windows de forma de que cuando la pc cargue se cargue con el sistema y allí esta de nuevo, es necesario en la mayoría de los casos haber parado ese proceso antes del siguiente paso por que si no pasa como en la memoria se sigue escribiendo.
Luego entrar a run y escribir msconfig esta ventana indica todas las cosas que se cargan con la pc, que hacer buscar donde esta y deshabilitarlo, ellos están en la ventana inicio, pero en estos días la maquina que me tomo como una hora eliminarlo era muy inteligente por que no solo se metió en lo de inicio si no que estaba oculto en los de servicios y allí es mas difícil verlo, para ello ordenar por fabricante y sabemos que no es de Microsoft, entonces ver los que quedan…. Ojo en cualquiera que quitemos ver que se deshabilita no valla a ser que carguen su pc sin antivirus por que deshabilitaron el arranque del mismo.
Una vez logrado estos pasos y eliminado de la pc y la memoria reiniciar la maquina, introducir la memoria abrir el ultraedit de nuevo y si el autorun no se volvió a copiar, sorpresa lo hemos logrado….
Saludos
