martes, 21 de abril de 2015

Vírus Recycler

En las memorias USB se crea una carpeta oculta con el ejecutable \RECYCLER\e621ca05.exe


Modifica todas las carpetas del raíz del dispositivo haciéndolas carpetas del sistema ocultas (hay que activar una opción especial para verlas). En su lugar crea un acceso directo por carpeta que además llamará al ejecutable anterior, para infectar nuevos equipos.


Ejemplo de llamada para cada acceso directo:
%systemroot%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe &&%systemroot%\explorer.exe %cd%GNI Zeus AM - entornos


En cada ordenador infectado se crea un ejecutable con nombre aleatorio, en la carpeta C:\Usuarios\[user]\AppData\Roaming\*****.exe Reconocible por el icono de la vaquita con su móvil.


Para eliminar el vírus deberíamos eliminar el ejecutable en nuestro equipo y borrar el registro creado en HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\****.exe (regedit) para que no se inicie con Windows.

Para borrar el virus de los dispositivos de memoria eliminar la carpeta RECYCLER.

Con la consola de comandos (CMD) podemos borrar los accesos directos y restaurar la visiblidad de las carpetas.
del *.lnk
attrib /d /s –r –h –s *.*


Para que sea efectivo deberíamos repasar también cualquier equipo y memoria USB de nuestro entorno.

No hay comentarios:

Publicar un comentario