Perucomputec.

com

El comportamiento de este virus es interesante: 1. Se replica a travs de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qu es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una accin al insertar un medio removible como un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea realizar una accin automtica al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB. La estructura tpica de un archivo autorun.inf es: [Autorun] Open=Nombre.extension Label=Etiqueta_Unidad icon=nombreicono.ico En la seccin Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la seccin Open llama a los siguientes archivos: ntdeiect.com n1detect.com n?deiect.com nide?ect.com uxde?ect.com 2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos estn ocultos y con atributos de sistema y de slo lectura, con esto evitan que se muestren a simple vista. Una vez ejecutados los archivos mencionados, el virus crea una copia de s mismo con los siguientes nombres de archivo: C:\WINDOWS\System32\amvo.exe C:\WINDOWS\System32\avpo.exe C:\WINDOWS\System32\amvo0.dll C:\WINDOWS\System32\amvo1.dll C:\WINDOWS\System32\avpo0.dll C:\WINDOWS\System32\avpo1.dll Recalco que estos archivos tambin se crean con permisos de archivos de sistema y ocultos. 3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] amva=amvo.exe o

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] avpa=avpo.exe 4. Luego el virus empieza a infectar todas las unidades fsicas del computador, creando en el directorio raz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego abra sus unidades ya sean C, D, E, etc. Estarn repitiendo el proceso de infeccin. Osea estarn repitiendo el paso 1. 5. El virus tambin se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningn modo. Esto lo logra escribiendo en el registro lo siguiente: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed] Hidden=dword:00000002 Una vez que conocemos el comportamiento de este virus, podemos proceder a su eliminacin de forma manual si se desea. Esto es lo que se debe hacer en la Unidad C: 1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde la lnea de comandos: taskkill /f /im amvo.exe taskkill /f /im avpo.exe 2. Quitar los atributos de sistema, de oculto y de slo lectura a los archivos mencionados, esto se logra usando los siguientes comandos desde la consola: attrib -s -h -r C:\autorun.inf attrib -s -h -r C:\ntdeiect.com attrib -s -h -r C:\n1detect.com attrib -s -h -r C:\n?deiect.com attrib -s -h -r C:\nideiect.com attrib -s -h -r C:\nide?ect.com attrib -s -h -r C:\uxde?ect.com 3. Proceder a la eliminacin de estos archivos usando el comando delete con la opcin /f para forzar el borrado, la opcin /q para borrar sin pedir confirmacin y la opcin /a para indicar que son archivos con atributos los que se van a eliminar, desde la lnea de comandos: del C:\autorun.inf /f /q /a del C:\ntdeiect.com /f /q /a del C:\n1detect.com /f /q /a del C:\n1deiect.com /f /q /a del C:\nide?ect.com /f /q /a del C:\uxde?ect.com /f /q /a

4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron en la carpeta C:\windows\system32: attrib -s -h -r c:\windows\system32\amvo.exe attrib -s -h -r c:\windows\system32\avpo.exe attrib -s -h -r c:\windows\system32\amvo0.dll attrib -s -h -r c:\windows\system32\amvo1.dll attrib -s -h -r c:\windows\system32\avpo0.dll attrib -s -h -r c:\windows\system32\avpo1.dll 5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta C:\windows\system32: del /f c:\windows\system32\amvo.exe del /f c:\windows\system32\avpo.exe del /f c:\windows\system32\amvo0.dll del /f c:\windows\system32\amvo1.dll del /f c:\windows\system32\avpo0.dll del /f c:\windows\system32\avpo1.dll 6. Ahora borramos del registro los valores creados por el virus para evitar su ejecucin automtica al inicio del sistema, desde la lnea de comandos: reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f 7. Y restauramos la opcin de poder ver los archivos ocultos y de sistema, desde la lnea de comandos: reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\ /v Hidden /t REG_DWORD /d 1 /f 8. Repetir los pasos 1-7 en todas las unidades. 9. Reiniciar el computador. Como vers el proceso de la eliminacin de este virus es posible de forma manual pero como habrs notado tambin es un poco tedioso y ms an si no ests familiarizado con la Lnea de comandos a.k.a. CMD.EXE.

Todo los crditos a www.mygeekside.com