infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos

Iniciado por Graphixx, 14 Octubre 2013, 03:14 AM

0 Miembros y 1 Visitante están viendo este tema.

Graphixx

Mis padres en sus oficinas cada rato llegan a casa con sus USB infectadas por qecddxsldm.vbs
puedo volver los archivos ocultos a su estado normal con el programa USB Show (http://ldc.mx/usbshow.php),
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???



En casa las desinfecto con Kaspersky.
Nada tiene fin solo hay pequeñas pausas, pausas que determinan el comienzo de otros. Graphixx
Mi blog

noele1995

No se puede instalar un AV en una memoria usb, el AV hay que instalarlo en el pc infectado.

Flamer

hola graphix nose que otras utilidades tiene ese programa pero desde la consola puedes volver los archivos a su normalidad y borrar los accesos directos asi:


attrib -s -r -h /s /d & del /f *.lnk



otra cosa si es vbscript puedes analisar la muestra  y de paso puedes subir otra aca al foro

saludos Flamer

MCKSys Argentina

Si es USB, deberia ejecutarse usando autorun.inf, no?

Si es asi, una vez limpio el USB puedes crear un directorio autorun.inf en el USB. Colocarlo como solo lectura, sistema (no oculto, asi sabes si hay cambios en el USB).

Luego adentro le metes un file de 1 a n bytes, que se llame como sea. Batsa con que el directorio no este vacio.

Ese file podria ser readonly/sistema tambien.

Y con eso deberia bastar, siempre y cuando el virus no la borre (aunque si lo intenta, deberia tener en cuenta que no es un archivo sino un directorio y que ademas, esta lleno).

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Flamer

Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

MCKSys Argentina

Cita de: Flamer en 16 Octubre 2013, 01:23 AM
Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

OK, pero si partis desde la base que tu maquina no esta infectada, la pregunta es: como se infecta? Como se ejecuta el virus? Como hace para crear los .lnk? Usa un exploit?
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TheChivo

MCKSys Argentina

Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahora cuando metas una USB sana la maquina modificara todos los programas y archivos de la USB para que el proceso se repita, yoo lo llamo "El CiberSIDA"

Llendo por este tema, me cayó uno de esos que usan VBS pero lo pobre en un nuevo post a ver que sale y si me pueden ayudar a deshacerme de el, si quieren verlo y tratar de figurar que hace, aqui esta el post http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html . Suerte!

Flamer

Citar
OK, pero si partis desde la base que tu
maquina no esta infectada, la pregunta es:
como se infecta? Como se ejecuta el virus?
Como hace para crear los .lnk? Usa un
exploit?
hola fly para infectar la maquina se tiene que ejecutar el virus y para eso el acceso directo ejecuta esto en la ruta que tiene;


cmd /c virus.vbs&archivo.txt


y para crear los lnk pues en vbs se puede

saludos flamer

MCKSys Argentina

Cita de: TheChivo en 16 Octubre 2013, 07:13 AM
Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.

Ahhhh, asi si. En ese caso el consejo es basico: quítenle la pc al user y mándenlo a aprender antes de usarla... jejeje  >:D

O bien pongale un AV que permita bloquear los .lnk en unidades extraibles, o hagan un proggie que haga eso...

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


TheChivo

jajaja, Andamos desde el año 2000 queriendo educar al usuario, pero parece ser que no les interesa aprender, solo quieren bajar musica con kazaa, limewire, ares, quieren instalar una version de Halo que se bajaron que pesa 300kb, solo  les interesa meter memoria copiar, pegar, sacar, y ponerse a compartir en facebook que desayunaron. Para nada se interesan en conocer los riesgos del ambiente en que se mueven.

El usuario siempre será el eslabon mas debil. El acceso ilegal a cuentas ya no se hace por cracking o por "hackeo" sino que se usa ingenieria social para engañar al usuario y hacer que este te de su contraseña (tecnicamente, esto hace que no sea ilegal, pero bueno, no soy abogado). Bueno, solo queria comentar eso, ya me retiro que acá ya son las 3 am y tengo sueño XD.

Salu2!