Mis padres en sus oficinas cada rato llegan a casa con sus USB infectadas por qecddxsldm.vbs
puedo volver los archivos ocultos a su estado normal con el programa USB Show (http://ldc.mx/usbshow.php),
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???
En casa las desinfecto con Kaspersky.
No se puede instalar un AV en una memoria usb, el AV hay que instalarlo en el pc infectado.
hola graphix nose que otras utilidades tiene ese programa pero desde la consola puedes volver los archivos a su normalidad y borrar los accesos directos asi:
attrib -s -r -h /s /d & del /f *.lnk
otra cosa si es vbscript puedes analisar la muestra y de paso puedes subir otra aca al foro
saludos Flamer
Si es USB, deberia ejecutarse usando autorun.inf, no?
Si es asi, una vez limpio el USB puedes crear un directorio autorun.inf en el USB. Colocarlo como solo lectura, sistema (no oculto, asi sabes si hay cambios en el USB).
Luego adentro le metes un file de 1 a n bytes, que se llame como sea. Batsa con que el directorio no este vacio.
Ese file podria ser readonly/sistema tambien.
Y con eso deberia bastar, siempre y cuando el virus no la borre (aunque si lo intenta, deberia tener en cuenta que no es un archivo sino un directorio y que ademas, esta lleno).
Saludos!
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.
lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus
Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella
saludos Flamer
Cita de: Flamer en 16 Octubre 2013, 01:23 AM
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.
lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus
Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella
saludos Flamer
OK, pero si partis desde la base que tu maquina
no esta infectada, la pregunta es: como se infecta? Como se ejecuta el virus? Como hace para crear los .lnk? Usa un exploit?
MCKSys Argentina
Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahora cuando metas una USB sana la maquina modificara todos los programas y archivos de la USB para que el proceso se repita, yoo lo llamo "El CiberSIDA"
Llendo por este tema, me cayó uno de esos que usan VBS pero lo pobre en un nuevo post a ver que sale y si me pueden ayudar a deshacerme de el, si quieren verlo y tratar de figurar que hace, aqui esta el post http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.htm (http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html)l . Suerte!
Citar
OK, pero si partis desde la base que tu
maquina no esta infectada, la pregunta es:
como se infecta? Como se ejecuta el virus?
Como hace para crear los .lnk? Usa un
exploit?
hola fly para infectar la maquina se tiene que ejecutar el virus y para eso el acceso directo ejecuta esto en la ruta que tiene;
cmd /c virus.vbs&archivo.txt
y para crear los lnk pues en vbs se puede
saludos flamer
Cita de: TheChivo en 16 Octubre 2013, 07:13 AM
Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahhhh, asi si. En ese caso el consejo es basico: quítenle la pc al user y mándenlo a aprender
antes de usarla... jejeje >:D
O bien pongale un AV que permita bloquear los .lnk en unidades extraibles, o hagan un proggie que haga eso...
Saludos!
jajaja, Andamos desde el año 2000 queriendo educar al usuario, pero parece ser que no les interesa aprender, solo quieren bajar musica con kazaa, limewire, ares, quieren instalar una version de Halo que se bajaron que pesa 300kb, solo les interesa meter memoria copiar, pegar, sacar, y ponerse a compartir en facebook que desayunaron. Para nada se interesan en conocer los riesgos del ambiente en que se mueven.
El usuario siempre será el eslabon mas debil. El acceso ilegal a cuentas ya no se hace por cracking o por "hackeo" sino que se usa ingenieria social para engañar al usuario y hacer que este te de su contraseña (tecnicamente, esto hace que no sea ilegal, pero bueno, no soy abogado). Bueno, solo queria comentar eso, ya me retiro que acá ya son las 3 am y tengo sueño XD.
Salu2!
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link
http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/
Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual
http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html
Saludos
CitarHola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link
http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/
Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual
http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html
Saludos
revise el link ya que soy cubano y pude acceder facilmente a esa direccion, pero lo que realmente interesaria seria una copia full del script para poderlo analizar a fondo, no que alguien solamente muestre parte del codigo y su forma de desinfectar las pc. Por favor repito como 100pre digo, no es para fines villanos de gobernar el mundo, solo para aprender sobre codigos que no vienen en los manuales de vbs que existen en internet. Si Alguien puede postearlo aki o enviarmelo ya sea via MP o e-mail danny920825@gmail.com (http://danny920825@gmail.com) se lo voy a agradecer.
Cita de: [ Thunder | CLS ] en 19 Octubre 2013, 22:37 PM
Hola, para un analisis completo de este malware + una vacuna para limpiar el sistema y los dispositivos extraibles puedes revisar este link
http://reversecode.cubava.cu/2013/10/analizando-el-malware-mugen-vbs/
Igual esta duda ya se respondio en este otro hilo por ||MadAntrax||, que es el mismo malware y lo puedes chequear igual
http://foro.elhacker.net/analisis_y_diseno_de_malware/resuelto_infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html
Saludos
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
Cita de: ||MadAntrax|| en 21 Octubre 2013, 19:19 PM
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
eso pasa, pero por favor, dime si es posible obtener el codigo completo del programa
Red Mx el creador de Snow y y muchos otros tambien cuenta con un antivirus USB... Mx ONE...lo que pasa es que hace mucho que no se actualizan las firmas...
http://www.mxone.net/
http://ldc.mx/
En su blog explica como "defenderse" de este virus.
http://www.mxone.net/blog/?p=690
PD: Es colaborador en el foro.
Saludos
Cita de: Graphixx en 14 Octubre 2013, 03:14 AM
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???
Citarhttp://research.pandasecurity.com/Panda-USB-Vaccine-with-NTFS-Support/
hace lo que dijo MCKSys..... pero no pensaron en crear un archivo..... :laugh: :laugh: :laugh:
Cita de: ||MadAntrax|| en 21 Octubre 2013, 19:19 PM
Vaya, parece que hayan copiado mi post y lo hayan publicado en ese blog.... :(
Solo quiero hacer algunas aclaraciones:
1- Si vez la fecha de mi post en el blog (12/10/2013) veras que es mas antigua que la del tuyo (16/10/2013)
2- Mi analisis "se supone" que tiene que ser "igual" que el tuyo ya que estamos hablando del mismo malware solo con unas ligeras modificaciones entre ellos. Vamos que si cualquier otro hace un estudio del script llegara a las mismas conclusiones que tu y no por eso vamos a decir que te lo "copio"
3- En mi respuesta comente acerca del hilo con tu analisis, hasta puse el link...no crees que si estuviera "robando" tu trabajo seria algo estupido hacer eso?
4- Siempre me a molestado eso de que te copien tu trabajo y te lo falsifiquen, por lo que me opongo a los que lo practican y por ende a practicarlo yo mismo, ademas, no tengo necesidad de eso, no sere ELITE, pero si se reversear, y mucho mas un simple script malware.
Saludos
No se ustedes, pero creo yo que mientras mas difusion haya pues, mejor, no?
En fin, realmente vine aqui para pedirle a graphixx que, de ser posible, abra el vbs con block de notas y en pastebin u otra herramienta comparta el código para su analisis. Por mi parte yo tuve una muy agradable experiencia deshaciendome de "fyzbnaksvu..vbs" gracias a la valiosa colaboracion (cof cof yo me pase de gorra XD cof cof) de ||MadAntrax||, solo necesite afinar algunos detalles para recolectar la basura pero fue todo, si se proporciona el codigo fuente, se puede pasar a a analizar, comparar y ver las diferentes mutaciones de estos virus (ya he visto mas, hay otro rondando llamado "microsoft.vbs")
De momento, es todo, un saludo desde la tierra de los tacos XD
Ya me toca esperar a que el Medico al que le arregle la USB se vuelva a infectar, y me parece sospechoso que el virus este bastante arraigado entre los profesionales de la SALUD de mi Pais, ya que son estos los que mejores ingresos economicos tienen, yo no descartaria que el virus sea un metodo de hacerles carding a esos profesionales. Ya el me comento que a medidos del 2011 le robaron de la tarjeta de credito alrededor de $2000 US dolares, el banco jamas identifico a los asaltantes y mucho menos le devolvio el dinero a el, asi que es toda una mafia la que hay detras de este pequeño bichito.
La empresa que esta infectada con el virus se llama METROSALUD, y es la entidad de salud mas grande del PAIS.