Cmo eliminar virus USB que oculta las carpetas /

cmo evitar que nuevos virus infecten las

memorias USB
4 marzo, 2013 unrealmaverick
Nota aclaratoria: dado que en mi pas se nombran a los pendrives o a las flash memory
como memorias USB, me referir as a las mismas, o simplemente USB para abreviar.
Por qu esta entrada? Bueno, comienzo preguntado, cuntas veces no se les ha metido
un bicho en la memoria por puro descuido del dueo de esa terminal, y ms an, este
bicho ha desaparecido los archivos? As comienza esta historia, con memorias
infectadas. Siempre me ha parecido una falta de cuidado por parte de ciertos usuarios el
mantenimiento de sus propios equipos, bien sea sus computadores, con la falsa
seguridad de un antivirus que no les reporta o da cuenta del estado real del sistema, o
bien sea sus propias memorias USB, con indiferencia de si est infectada y
transmitiendo bichos por doquier. A esto ultimo, la brutal indiferencia con la que me he
topado, con algunas personas que usan distros GNU/Linux o Mac OS X y decirles que
la memoria que les voy a pasar esta limpia, responden pero ese no es problema mo, a
mi esos virus no me afectan y al ver sus memorias en mi pc encontrar que estas estaban
infectadas, y es indiferencia ya que si no los afecta, no se preocupan por no mantenerlas
limpias y evitar ms propagaciones. Se que no son todas las personas, pero, como dije,
me he topado con varios de esos casos, incluyendo varios profesores/as.
Hace un par de semanas, en un computador de la fotocopiadora de medicina, mi novia
insert su USB para imprimir un informe, y, sorpresa! se le prendieron ms de 75
bichos, incluyendo bellezas como Conficker y Stuxnet (lo s por el reporte de mi
antivirus cuando la limpi), y al hacerles el comentario, la respuesta fue eso no puede
ser, tenemos X antivirus (de los gratuitos que es bueno), y el tcnico la revis hace
poco, esta libre de virus, eso debio pegarsele en otro lugar y ahora viene a decir que
fue culpa nuestra Cmo utas lleg Stuxnet a un computador sencillito que se usa solo
para imprimir cosas? a cuntas personas no se les habr prendido todos o muchos de
esos bichos? Me pas algo similar cuando le di mi memoria a una persona que, la
necesitaba para pasarme una info sumamente importante. As, se la pas, y cuando ya en
mi casa la insert, encontr que estaba infectada, habindose eliminado todas las
carpetas y reemplazadas por accesos directos, lo mismo que con los ejecutables (eso
mismo tambin le sucedi a mi novia en lo que cont arriba). Esto es sumamente grave,
teniendo en cuenta que en mi USB tengo, como ya vern, el hirens boot (como
recordarn, adems de mis cuestiones profesionales y acadmicas tambin le cacharreo
a los computadores), por lo que es supremamente importante que est limpia y libre de
todo mal, y aunque solo tenia un bicho, igual estaba infectada y se hicieron
modificaciones a mis archivos. Ahora les mostrar, con mi propia experiencia, cmo
eliminar este molesto virus, recuperando todos los archivos y carpetas desaparecidas, y
a continuacin cmo inmunizar la USB para que no vuelva a pasar esto.

Al insertar la memoria, antes que nada, hay que desinfectarla con nuestra solucin
antivirus. Al ingresar al explorador de archivos, como pueden ver, aparecen todas las
carpetas (exceptuando las que me pasaron la info) como si fuesen accesos directos, y
todas con fecha de modificacin el instante en que el bicho se meti. As, oprim alt
para que aparezca la barra de men, y all a Herramientas, y luego fui a Opciones de
carpeta

Al hacer esto, se despliega una nueva ventana

Vamos a la pestaa Ver, y all seleccionamos Mostrar archivos, carpetas y unidades
ocultas, y ms abajo deseleccionamos Ocultar archivos protegidos del sistema
operativo (recomendado) y, esto es ABSOLUTAMENTE NECESARIO para algo que
vamos a hacer ms adelante, tambin deseleccionamos Ocultar las extensiones de
archivo para tipos de archivos conocidos. Particularmente yo ya tengo esa opcin sin
seleccionar, porque quiero ver todas las extensiones, pero muchas personas no saben de
la opcin, y no los ven, teniendo en cuenta que por defecto viene seleccionada. Al darle
Aplicar, les saldr una advertencia, sobre mostrar los archivos protegidos, denle que
s.

Ahora, vemos que en la carpeta aparecen todas las carpetas y archivos que se creian
perdidos. Como dije antes, esta es la prueba, no estaban eliminados, solo ocultos a
nuestra vista.

Si damos clic alterno a una de las carpetas, veremos de sus atributos que sus
propiedades son, ser una carpeta de solo lectura, y, la propiedad de ser una carpeta
oculta y de sistema (no la podremos modificar). La forma larga de recuperar las carpetas
es, crear nuevas, eliminar las antiguas, y pasar los archivos, pero la forma como les dir
es mucho ms fcil y rpida.

Lo que haremos a continuacin es seleccionar todos los accesos directos, as como
ejecutables y carpetas que no nos sean usuales o hayamos creado (en este caso se
aprecia la carpeta RECYCLER) y los eliminamos.

Una vez eliminados, vamos al Smbolo del Sistema, por cualquiera de los siguientes
mtodos: Vamos al men Inicio, Todos los programas, accesorios, herramientas de
sistema, o simplemente oprimimos la tecla Win + R y en el cuadro de texto escribimos
cmd, o ms simple y rpido an, oprimimos la tecla Win, y al aparecer el men Inicio,
escribimos cmd.


Entonces se nos abrir una nueva ventana, que es muy similar a lo que era el MS-DOS,
vamos a la letra de unidad (en este caso la letra I), y escribimos el comando ATTRIB,
de forma como describo a continuacin (ponemos lo que esta en cursiva; en negrilla es
lo que ya aparece en letra blanca y no debemos escribirlo):
C:\>Users\miusuario>I:
I:\>attrib s h /s /d


Al escribir esto, pasan unos pocos segundos, cuando salga de nuevo la letra de unidad
(insisto, en este caso es la I, depende de cules dispositivos tengan puede variar ente D y
J, varia de PC a PC), entonces minimizamos el Smbolo del Sistema, y al abrir de nuevo
la USB desde el explorador de archivos, veremos que todos los archivos y carpetas han
aparecido donde deberan estar.

La explicacin de lo que hicimos es la siguiente: el comando ATTRIB se usa para
cambiar los atributos de los archivos, al escribir s y h indicamos que queremos
quitarles las propiedades de archivos de sistema (s) y ocultos (h) a todos los archivos,
carpetas y subcarpetas que tengan esas propiedades (/s /d).
Ahora procederemos a inmunizar la USB, para que no vuelvan a pasar estos incidentes.
Creamos una carpeta nueva en el escritorio, que podamos eliminar facilmente despues,
y creamos adentro una nueva carpeta.

Esta nueva carpeta que acabamos de crear la renombraremos Autorun.inf. Debe quedar
as:

Ahora, daremos clic alterno en el fondo blanco y seleccionamos Nuevo >
Documento de texto:

Vamos a crear 3 archivos de texto:


Los vamos a renombrar como DRIVER, RECYCLER y RESTORE.

Ahora debemos eliminar la extensin .txt de los archivos de texto, para que queden
como archivos nada ms. Por eso deca antes que era importante que pudiramos ver las
extensiones de archivo, si no la vemos debemos ir a las opciones de carpeta y habilitar
poder verlas. Al momento de eliminar la extensin saldr una advertencia si deseamos
eliminar la extensin, le decimos que s. As, ahora tenemos 4 archivos en nuestra
carpeta: Autorun.inf, DRIVER, RECYCLER y RESTORE.

Lo siguiente es copiar los 4 elementos a la carpeta raz de la USB.

Si hay un archivo llamado Autorun.inf en el directorio raz de la USB, saldr un aviso
de error diciendo que el archivo ya existe, y que le es imposible reemplazar. Lo que se
hace es eliminar el archivo de la USB, y a continuacin, volver a copiar nuestro archivo.
Ahora, vamos a cambiar los atributos de estos 4 elementos, no con el clic alterno sobre
estos, ya que esos atributos se pueden cambiar

Por tal motivo vamos de nuevo al Simbolo de Sistema, ingresamos de nuevo a la
memoria y escribimos lo siguiente (teniendo de nuevo en cuenta, la letra de mi USB es
I, pero esto varia de PC en PC):
C:\>Users\miusuario>I:
I:\>attrib autorun.inf +r +s +h
I:\>attrib driver +r +s +h
I:\>attrib recycler +r +s +h
I:\>attrib restore +r +s +h

Los archivos ahora deben verse as

Ahora, solo queda, entrar de nuevo en las opciones de carpeta, y en la pestaa ver
seleccionamos NO mostrar archivos, carpetas y unidades ocultas, Ocultar archivos
protegidos del sistema operativo (recomendado), y dependiendo de las preferencias de
cada quien, si quieren o no seguir viendo las extensiones, Ocultar las extensiones de
archivo para tipos de archivos conocidos. Las dos primeras opciones DEBEN por
seguridad quedar seleccionadas, la ltima es segn cada quien quiera.
Cmo se cuela un malware en la USB? Empecemos con RECYCLER: el computador
infectado crea esta carpeta, y en ella crea una carpeta adicional llamada S-1-5-21-
1482476501-1644491937-682003330-1013, dentro de esta generar un archivo
Desktop.ini el cual, por un lado, le dar a su carpeta el icono de la Papelera de Reciclaje,
pero adems, contiene la lnea [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-
00AA002F954E} la cual hace que al hacer doble clic en ella se abra la propia Papelera,
ocultando as el archivo infeccioso ejecutable que contaminar el computador donde se
inserte. Algo similar ocurre con las carpetas DRIVER y RESTORE, aunque tambin
pueden haber otras carpetas problemticas creadas para alojar y ocultar el ejecutable.
En el caso del autorun, este archivo incluye instrucciones de ejecucin (se que abra un
programa determinado, o que se muestre un icono en particular, de hecho, s se fijaron
en las imgenes, mi USB al principio apareca como Hirens BootCD y con un icono
del programa, despus de reemplazar el archivo aparece simplemente como disco
extraible, con el icono por defecto para estas unidades extraibles), y si bien este archivo
no tiene problemas inicialmente, es usado por los virus para incluir las instrucciones de
propagacin, reemplazando con estas las originales de lo que debe ejecutarse o
mostrarse. Es decir, incluyen la instruccin de ejecutar el programa escondido en la
carpeta RECYCLER de forma automtica, cosa bastante problemtica en Win XP, pero
minimizada en Win 7, por lo que este ultimo SO es ms resistente a que se le active el
archivo de malware de esta forma; an as, una buena solucin antivirus debera ser
capaz de identificar y detener el ataque cuando ocurre de esta forma.
Cuando el o los malwares que se instalan en la USB ocultan archivos y carpetas
reemplazndolas por accesos directos, como me pas en la descripcin arriba en esta
entrada, lo que buscan es que las personas hagan clic en los accesos directos creyendo
que son sus archivos, activando el ejecutable y las instrucciones de instalacin y
apropiacin del sistema.
Lo que hicimos con los 4 elementos fue, crear archivos falsos. Esto es, una carpeta en
vez de un archivo (autorun.inf) y un archivo en vez de una carpeta (RECYCLER y
compaa), de forma que, como en el caso del error, no se pueda reemplazar. Esto es, no
puede haber en la misma ubicacin una carpeta y un archivo con el mismo nombre, por
tanto el malware no podr copiar y reemplazar nuestros archivos preparados, como s
reemplaza un archivo autorun.inf genrico o de fabrica que incluya la USB. Adems, en
la utilizacin del comando ATTRIB lo que estamos haciendo al escribir +r +s y +d es
indicarle que al archivo mencionado en ese momento queremos darle las propiedades de
archivo oculto (r), archivos de sistema (s) y ocultos (h), de esta forma nosotros no
vamos a ver estos archivos cuando usemos nuestra memoria, y tendr una dificultad
adicional para ser cambiado el archivo por una carpeta que aloje el archivo infectado.