Modifica todas las carpetas del raíz del dispositivo haciéndolas carpetas del sistema ocultas (hay que activar una opción especial para verlas). En su lugar crea un acceso directo por carpeta que además llamará al ejecutable anterior, para infectar nuevos equipos.
Ejemplo de llamada para cada acceso directo:
%systemroot%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%systemroot%\explorer.exe %cd%GNI Zeus AM - entornos
En cada ordenador infectado se crea un ejecutable con nombre aleatorio, en la carpeta
C:\Usuarios\[user]\AppData\Roaming\*****.exe
Reconocible por el icono de la vaquita con su móvil.
Para eliminar el vírus deberíamos eliminar el ejecutable en nuestro equipo y borrar el registro creado en
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\****.exe
(regedit) para que no se inicie con Windows.
Para borrar el virus de los dispositivos de memoria eliminar la carpeta RECYCLER.
Con la consola de comandos (CMD) podemos borrar los accesos directos y restaurar la visiblidad de las carpetas.
del *.lnk attrib /d /s –r –h –s *.*
Para que sea efectivo deberíamos repasar también cualquier equipo y memoria USB de nuestro entorno.
No hay comentarios:
Publicar un comentario