EHTVC "Alberto Delgado Delgado"

¿USBCILLIN? Es realmente un Antivirus

Autor Roberto Carlos González
Monday, 12 de October de 2009
Modificado el Wednesday, 28 de October de 2009

NO, NO y NO, USBcillin es un software maligno, un falso antivirus. Si usted lo tiene instalado, su PC está infectada, el
archivo llamado USBCILLIN.EXE está considerado como un spyware y gusano y puede haber otras infecciones en su
PC. Usted debe urgentemente chequear su PC con algun antivirus capaz de detectarlo y eliminarlo como McAfee y quitar
cualquier software maligno, incluyendo este, tan pronto como sea posible.

Comportamiento:

Se le ha visto actuar de la siguiente forma:

- Deshabilita el sistema de protección de archivos instalado en Windows.

- Modifica las políticas de seguridad de Windows para restringir/expandir los privilegios de usuarios en la PC
- Deshabilita el acceso al editor de registro de Windows.
- Deshabilita el acceso al administrador de tareas instalado
- Añade clave en el registro para arrancar los programas de autorun, en el arranque del sistema.
- Crea una bandeja en el área del sistema con falsos mensajes de advertencias y errores sobre riesgos de seguridad
como la que se muestra a continuación:

- Se resiste a la eliminación por una buena parte de los antivirus reales, provocando fallos en los sistemas de seguridad.
- Elimina otros procesos que se ejecutan en el arranque de la PC
- Registra un enlace dinámico a las librerías de ficheros.
- Ejecuta un proceso propio que crea otros procesos en la PC

Esto deviene, en que se crean entradas y llaves para el autoarranque de manera tal que asegura su subsistencia y deja
como secuelas las siguientes evidencias.

- Añadido como registro de autoarranque para cargar diferentes programas en el inicio de la PC

- Se muestra como un proceso más corriendo en su PC
- Crea e inserta su código en memoria virtual de otros programas.
- Se crea, ejecuta y elimina como un proceso en la PC.

País de origen

Fue visto por primera vez el 18 de mayo de 2008 en Nepal, la Unión Europea y el 30 de mayo en España.

Alias del archivo, u otros nombres con que se conoce:

* QWE.TXT.EXE
* 67972704.EXE
* 64080532.EXE
* 82215601.EXE
* 13882768.EXE
* 71519181.SVD
* 96402658.SVD
* 57273426.SVD

Tamaño del fichero o archivo

Se ha observado en los siguientes tamaños:

* 131,072 bytes
* 126,976 bytes

Se muestra como un producto antivirus vendido por Rajat & Co.; ; 1.00

Tipo de archivo:

Es un ejecutable que realiza actividad en el registro de Windows.

http://www.ehtvc.co.cu Potenciado por Joomla! Generado: 20 January, 2010, 13:14
 EHTVC "Alberto Delgado Delgado"

Uno o mas archivos con el nombre USBCILLIN.EXE crean y/o modifican las siguientes claves o valores del registro:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ "NoDispCPL" = "0"

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoRun" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \
"NoPropertiesMyComputer" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoPrinters" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \
"DisableRegistryTools" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ "DisableTaskMgr" =
"0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoControlPanel"
= "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \
"NoViewContextMenu" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoSetFolders" =
"0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Uninstall \ "NoRemovePage"
= "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Uninstall \
"NoAddRemovePrograms" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoNetHood" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Uninstall \ "NoAddPage" =
"0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Network \ "NoNetSetup" =
"0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoFolderOptions"
= "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoFind" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoFileMenu" =
"0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoDesktop" = "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ "NoActiveDesktop"
= "0"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "USBcillin" = "C: \ WINDOWS \
system32 \ USBcillin.exe"
HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Windows \ System \ "DisableCMD" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoRun" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \
"NoPropertiesMyComputer" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoPrinters" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoNetHood" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoViewContextMenu"
= "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoSetFolders" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Uninstall \ "NoRemovePage" =
"0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableRegistryTools"
= "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Network \ "NoNetSetup" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoControlPanel" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoActiveDesktop" =
"0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main \ "Window Title" = "Windows Internet Explorer"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "DisableTaskMgr" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Uninstall \
"NoAddRemovePrograms" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Uninstall \ "NoAddPage" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ "NoDispCPL" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoFolderOptions" =
"0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoFind" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoFileMenu" = "0"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ "NoDesktop" = "0"
http://www.ehtvc.co.cu Potenciado por Joomla! Generado: 20 January, 2010, 13:14
 EHTVC "Alberto Delgado Delgado"

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ TrayNotify \ "PastIconsStream"

= "hex:14, 00, 00, 00, 05, 00, 00, 00, 01, 00, 01, 00, b6, 00, 00, 00, 14, 00, 00, 00, 49, 4c, 00, 06, b6, 00, ba, 00, 04, 00,
10, 00, 10, 00, ff, ff, ff, ff, 21, 00 …"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MenuOrder \ Start Menu \
"Order" = "hex:08, 00, 00, 00, 02, 00, 00, 00, 00, 02, 00, 00, 01, 00, 00, 00, 03, 00, 00, 00, d2, 00, 00, 00, 00, 00, 00, 00,
c4, 00, 00, 00, 41, 75, 67, 4d, 02, 00, 00, 00…"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Shell" = "explorer.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ "Userinit" = "C: \
WINDOWS \ system32 \ userinit.exe,"

Instrucciones para quitar este virus de forma manual:

1.- Pare y quite todos los procesos siguientes

QWE.TXT.EXE
82215601.EXE
64080532.EXE
13882768.EXE
USBcillin.exe

2.- Localice y elimine las siguientes entradas anteriormente expuestas en el registro de Windows de la PC Infectada.

3.- Detecte y elimine otros archivos creados en su PC como resultado de la Infección:

En el directorio de instalación de Windows dentro de System:

USBcillin.exe

En el directorio temporal de Windows:

64080532.EXE
13882768.EXE
96402658.SVD
QWE.TXT.EXE
82215601.EXE
71519181.SVD
57273426.SVD

Eliminación automatizada

Si no posee un antivirus capaz de eliminarlo como McAfee, debe realizar todos los procesos antes explicados de forma
manual.
Esperamos les resulte útil esta alerta y pueda desinfectar su PC.

Roberto Carlos González

Administrador Red
EHTVC

http://www.ehtvc.co.cu Potenciado por Joomla! Generado: 20 January, 2010, 13:14