infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos

Graphixx · 14 Octubre 2013, 03:14 AM

Mis padres en sus oficinas cada rato llegan a casa con sus USB infectadas por qecddxsldm.vbs
puedo volver los archivos ocultos a su estado normal con el programa USB Show (http://ldc.mx/usbshow.php),
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???

En casa las desinfecto con Kaspersky.

noele1995 · 14 Octubre 2013, 14:16 PM

No se puede instalar un AV en una memoria usb, el AV hay que instalarlo en el pc infectado.

Flamer · 16 Octubre 2013, 00:06 AM

hola graphix nose que otras utilidades tiene ese programa pero desde la consola puedes volver los archivos a su normalidad y borrar los accesos directos asi:

Código [Seleccionar]


attrib -s -r -h /s /d & del /f *.lnk

otra cosa si es vbscript puedes analisar la muestra y de paso puedes subir otra aca al foro

saludos Flamer

MCKSys Argentina · 16 Octubre 2013, 00:32 AM

Si es USB, deberia ejecutarse usando autorun.inf, no?

Si es asi, una vez limpio el USB puedes crear un directorio autorun.inf en el USB. Colocarlo como solo lectura, sistema (no oculto, asi sabes si hay cambios en el USB).

Luego adentro le metes un file de 1 a n bytes, que se llame como sea. Batsa con que el directorio no este vacio.

Ese file podria ser readonly/sistema tambien.

Y con eso deberia bastar, siempre y cuando el virus no la borre (aunque si lo intenta, deberia tener en cuenta que no es un archivo sino un directorio y que ademas, esta lleno).

Saludos!

Flamer · 16 Octubre 2013, 01:23 AM

Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

MCKSys Argentina · 16 Octubre 2013, 04:06 AM

Cita de: Flamer en 16 Octubre 2013, 01:23 AM
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

OK, pero si partis desde la base que tu maquina no esta infectada, la pregunta es: como se infecta? Como se ejecuta el virus? Como hace para crear los .lnk? Usa un exploit?

TheChivo · 16 Octubre 2013, 07:13 AM

MCKSys Argentina

Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahora cuando metas una USB sana la maquina modificara todos los programas y archivos de la USB para que el proceso se repita, yoo lo llamo "El CiberSIDA"

Llendo por este tema, me cayó uno de esos que usan VBS pero lo pobre en un nuevo post a ver que sale y si me pueden ayudar a deshacerme de el, si quieren verlo y tratar de figurar que hace, aqui esta el post http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html . Suerte!

Flamer · 16 Octubre 2013, 20:27 PM

Citar
OK, pero si partis desde la base que tu
maquina no esta infectada, la pregunta es:
como se infecta? Como se ejecuta el virus?
Como hace para crear los .lnk? Usa un
exploit?

hola fly para infectar la maquina se tiene que ejecutar el virus y para eso el acceso directo ejecuta esto en la ruta que tiene;

Código [Seleccionar]


cmd /c virus.vbs&archivo.txt

y para crear los lnk pues en vbs se puede

saludos flamer

MCKSys Argentina · 17 Octubre 2013, 15:42 PM

Cita de: TheChivo en 16 Octubre 2013, 07:13 AM
Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.

Ahhhh, asi si. En ese caso el consejo es basico: quítenle la pc al user y mándenlo a aprender antes de usarla... jejeje

O bien pongale un AV que permita bloquear los .lnk en unidades extraibles, o hagan un proggie que haga eso...

Saludos!

TheChivo · 18 Octubre 2013, 09:44 AM

jajaja, Andamos desde el año 2000 queriendo educar al usuario, pero parece ser que no les interesa aprender, solo quieren bajar musica con kazaa, limewire, ares, quieren instalar una version de Halo que se bajaron que pesa 300kb, solo les interesa meter memoria copiar, pegar, sacar, y ponerse a compartir en facebook que desayunaron. Para nada se interesan en conocer los riesgos del ambiente en que se mueven.

El usuario siempre será el eslabon mas debil. El acceso ilegal a cuentas ya no se hace por cracking o por "hackeo" sino que se usa ingenieria social para engañar al usuario y hacer que este te de su contraseña (tecnicamente, esto hace que no sea ilegal, pero bueno, no soy abogado). Bueno, solo queria comentar eso, ya me retiro que acá ya son las 3 am y tengo sueño XD.

Salu2!