El Virus de las USB: Autorun y AMVO.
Aclaro que no soy programador (experto), ni soy ingeniero o licenciado en alguna carrera que tenga que ver con la computación (estudié ingeniería en sistemas de cómputo, pero lo dejé por el arte y el diseño, ¡viva!) Sin embargo mis conocimientos me han sido útiles para hacer algunas críticas (que pueden contraargumentarme los que saben realmente de esto mediante los comentarios del blog) y para incluso, eliminar esos molestos programas hechos por algún falto de razón, de estima, y acomplejado de superioridad o inferioridad, cuya intensión es causar algún malestar a cualquiera que sea víctima de su creación "maestra" que en este caso es un virus.
Resulta que Windows (ya veremos por qué todo mundo está tan interesado en hacer virus para ese sistema y no para MacOS o Linux) ofrece posibilidades infinitas para causar dolores de cabeza. Una posibilidad es la de la función "autorun" que lee un archivo nombrado AUTORUN.INF que contiene datos en un documento de texto plano, que informan al sistema (Windows) qué archivo ejecutable (programa) arrancar automáticamente (de ahí su nombre, auto-run). Esta opción fue pensada para los CD's que uno compra en un kiosko o puesto de revistas que contienen mucho software inútil a la larga. Difícilmente una compañía ofrecería un CD con la función AUTORUN que trajera algún virus, pues podría ser fácilmente demandada.
Pero resulta que esta opción funciona con cualquier unidad, y que las memorias FLASH USB funcionan como eso, como una unidad virtual. De modo que son un medio ideal para propagar virus tan molestos y nefastos como el AMVO por ejemplo. Y eso no es lo peor, lo peor es que este virus no puede ser eliminado tan fácilmente por los antivirus actuales. La razón de ello es que siendo lo que son, pueden autoreproducirse y copiarse un área de la memoria, y luego verificar que su copia en el disco, al no existir, sea creada nuevamente.
Un antivirus puede borrar un archivo como el AUTORUN.EXE y al poco rato puede volverse a encontrar ese archivo ahí mismo en la raíz del disco duro principal (o de los secundarios o esclavos). ¿Cómo se borra tal cosa? Yo lo he hecho usando el Norton Commander para sistemas MS-DOS 6 (e "inferiores"). Dado que el virus no permite al explorador de Windows ver archivos ocultos o de sistema (en caso de que un abusado determine que es el virus y lo quiera borrar), el Norton Commander si lo permite e incluso es capaz de borrarlos incluso en ambientes Windows XP. Para que no se vuelva a copiar en la memoria, es necesario arrancar el Windows bajo el "modo seguro a prueba de fallos y con símbolo del sistema" (vaya nombrecito). Para ello necesitaremos tener instalado el Norton Commander en algún directorio o carpeta de la raíz en C: y llamarlo desde la linea de comando C:\>NC o C:\CN (su versión en español). Usarlo es muy fácil y es una herramienta para mí imprescindible.
Pues bien, los archivos a borrar con Norton Commander son los siguientes:
En la raíz (C:\, D:\ F:\ -puede ser la memoria USB-; disco reescribible E:\, y cualquier medio de almacenamiento que incluye discos flexibles como A:\) son:
¿Mi crítica? Pues es simple. A veces mis conocidos (que tienen peripecias con tales virus) me dicen que sospechan de los desarrolladores de antivirus como los mismos autores de los virus. Su lógica es que ganan dinero mediante la creación de tales amenazas. O sea que puedo hacer un virus y luego venderle a la gente el antivirus. Y pueden tener razón, al menos puede ser el caso de algún desarrollador de software antivirus. Pero no creo que sean todos. Ya que muchos son gratuitos (y a veces funcionan mejor que los comerciales), y muchas veces, ninguno puede quitar virus tan molestos como estos que se describen en esta entrada. Bueno, ahora sí, mi crítica: Que el que un antivirus no pueda quitar un virus, que no lo pueda erradicar, que su desarrollador no sepa cómo funciona, hace desconfiar a la gente.
Resulta que Windows (ya veremos por qué todo mundo está tan interesado en hacer virus para ese sistema y no para MacOS o Linux) ofrece posibilidades infinitas para causar dolores de cabeza. Una posibilidad es la de la función "autorun" que lee un archivo nombrado AUTORUN.INF que contiene datos en un documento de texto plano, que informan al sistema (Windows) qué archivo ejecutable (programa) arrancar automáticamente (de ahí su nombre, auto-run). Esta opción fue pensada para los CD's que uno compra en un kiosko o puesto de revistas que contienen mucho software inútil a la larga. Difícilmente una compañía ofrecería un CD con la función AUTORUN que trajera algún virus, pues podría ser fácilmente demandada.
Pero resulta que esta opción funciona con cualquier unidad, y que las memorias FLASH USB funcionan como eso, como una unidad virtual. De modo que son un medio ideal para propagar virus tan molestos y nefastos como el AMVO por ejemplo. Y eso no es lo peor, lo peor es que este virus no puede ser eliminado tan fácilmente por los antivirus actuales. La razón de ello es que siendo lo que son, pueden autoreproducirse y copiarse un área de la memoria, y luego verificar que su copia en el disco, al no existir, sea creada nuevamente.
Un antivirus puede borrar un archivo como el AUTORUN.EXE y al poco rato puede volverse a encontrar ese archivo ahí mismo en la raíz del disco duro principal (o de los secundarios o esclavos). ¿Cómo se borra tal cosa? Yo lo he hecho usando el Norton Commander para sistemas MS-DOS 6 (e "inferiores"). Dado que el virus no permite al explorador de Windows ver archivos ocultos o de sistema (en caso de que un abusado determine que es el virus y lo quiera borrar), el Norton Commander si lo permite e incluso es capaz de borrarlos incluso en ambientes Windows XP. Para que no se vuelva a copiar en la memoria, es necesario arrancar el Windows bajo el "modo seguro a prueba de fallos y con símbolo del sistema" (vaya nombrecito). Para ello necesitaremos tener instalado el Norton Commander en algún directorio o carpeta de la raíz en C: y llamarlo desde la linea de comando C:\>NC o C:\CN (su versión en español). Usarlo es muy fácil y es una herramienta para mí imprescindible.
Pues bien, los archivos a borrar con Norton Commander son los siguientes:
En la raíz (C:\, D:\ F:\ -puede ser la memoria USB-; disco reescribible E:\, y cualquier medio de almacenamiento que incluye discos flexibles como A:\) son:
- autorun.exe
- autorun.inf
- v.com (o puede ser .exe)
- venom.exe
- autoexec.bat (cuando contiene 0 bytes de longitud)
- "archivos de extensión BAT que contengan un tamaño mas o menos grande y que por dentro contengan cosas como "MZ 89u8r2j·%% . Copyright $ $%$%·$%oi Este programa no puede ejecutarse bajo MSDOS" y demás caracteres del código ASCII en lugar de instrucciones de texto plano simples como "CLS, ECHO OFF, etc."
- "Archivos con extensión CMD que usualmente guardan una copia del propio virus de memoria que se asegura su supervivencia cambiando su extensión de ejecutable (com, exe, bat a una no identificable por los antivirus como CMD o INF)."
- Archivos DLL (Dinamic Link Libraries) con el nombre AMVO0.DLL, AMVO.DLL o AMVO1.DLL en las carpetas System y System32 del directorio de sistema "Windows".
- El archivo mexica.exe ubicado generalmente en las carpetas TEMP o TMP (esas hay que buscarlas por todos lados).
- También hay que borrar entradas sospechosas del archivo de registro de Windows (aunque algunos logran vulnerar el que sean borrados con el REGEDIT.EXE que viene incluido en Windows) con el uso del programa QuickStartup que es gratuito. Ahí se muestran todas las entradas de arranque incluyendo las ocultas y hasta su grado de confianza y ahí podemos identificar las que NO son instaladas por nosotros o las que son virus (que contienen el nombre de los archivos anteriormente listados) ubicados en las carpetas.
¿Mi crítica? Pues es simple. A veces mis conocidos (que tienen peripecias con tales virus) me dicen que sospechan de los desarrolladores de antivirus como los mismos autores de los virus. Su lógica es que ganan dinero mediante la creación de tales amenazas. O sea que puedo hacer un virus y luego venderle a la gente el antivirus. Y pueden tener razón, al menos puede ser el caso de algún desarrollador de software antivirus. Pero no creo que sean todos. Ya que muchos son gratuitos (y a veces funcionan mejor que los comerciales), y muchas veces, ninguno puede quitar virus tan molestos como estos que se describen en esta entrada. Bueno, ahora sí, mi crítica: Que el que un antivirus no pueda quitar un virus, que no lo pueda erradicar, que su desarrollador no sepa cómo funciona, hace desconfiar a la gente.
3 mensajes recibidos.:
Pos me voy a atrever a hacer el comentario XD, total...
Efectivamente mi estimado, el virus del que hablas no puede ser removido por muchos antivirus, peeeeero siempre es importante saber que antivirus usar.
No me extenderé acerca de marcas y caracteristicas, solo diré que por mucho el mejor es Kaspersky, el problema es el precio, también el NOD32 (que también lo quita) o si prefieren la versión gratuita, el Avira es la opción.
Ademas, para protegerse de tanta fauna nociva, ya no basta el antivirus, bajen el antispyware mas efectivo, el spybot S&D.
Y si no quieren seguir peleandose con molestos virus, les recomiendo que prueben Linux.
Tienes razón mi estimado Dargor. La cuestión es que en la universidad donde doy clases, todas las computadoras tienen el Kaspersky y no elimina nada de nada. Los docentes de planta tienen el NOD32 y tampoco lo han quitado, y el amigo quejoso que me sospecha de los desarrolladores tiene el Avira ... La cosa es que no puede uno andar instalando tantos antivirus en un sólo sistema, porque además entre ellos luego se confunden con un virus. Yo soy de la misma idea, mejor cambiar a Linux. Pero en mi caso me es virtualmente imposible, porque InkScape no maneja archivos de Illustrator, de Corel, Freehand, PDF Acrobat, etc. Y usar Gimp está bien porque casi cualquier cosa que se hace en Photoshop o Corel Photopaint se hace ahí, pero en el vectorial si no hay nada para Linux excepto InkScape. Sé que Dreamweaver y Flash pueden usarse en Linux con la misma versión para Windows, pero en mi caso es imposible dar el salto completo. Ahora el reto es usar Windows en un emulador dentro de Linux.
Amigo tu dices que desactivar el autorun y ¿como se hace eso? Desactivar el autorun
Gracias de antemano
Euclides
Publicar un comentario en la entrada