Se ha descubierto un nuevo virus que estaría programado
para impedir la utilización del equipo el día 5 de Noviembre.
El virus es capaz de reproducirse a través
de dispositivos extraíbles (pen drives, discos duros externos, etc.) pudiendo
así infectar aquellos equipos en los que se conecta el dispositivo extraíble. Una vez infectado
el equipo, el virus modifica su configuración (el registro de Windows) para
garantizar su permanencia en él. Además, también es capaz de recopilar
información sobre el ordenador comprometido (como por ejemplo el nombre, la
fecha actual, etc.) para enviarla posteriormente a servidores remotos.
En el caso de conectar un dispositivo extraíble en un
ordenador infectado (por ejemplo, un USB de almancenamiento), el virus lo
infectará. Para ello, marcará
todas las carpetas que encuentre en el directorio raíz del dispositivo como
ocultas con el fin de que no sean visibles para el usuario.
Además, creará tantas copias de sí mismo como carpetas haya encontrado
manteniendo el nombre de las originales. De esta forma cuando un usuario
conecte un dispositivo USB infectado en su ordenador no verá las carpetas
originales sino las carpetas generadas por el virus. Estas carpetas son
realmente una copia del virus (un fichero ejecutable) de forma que cuando se
haga clic en alguna de ellas para ver su contenido, el virus infectará el
equipo de forma totalmente transparente al usuario. Además, para evitar
sospechas, una vez el usuario haga clic en la carpeta falsa, el virus mostrará
el contenido del directorio legítimo.
Cuando el virus detecte la fecha del 5 de
Noviembre mostrará multitud de botones de apagado en puntos aleatorios de la
pantalla de forma que si el usuario pulsa en alguno de ellos el equipo se apaga. El virus también
puede modificar el fondo de escritorio así como generar la apertura de la
unidad de CD-ROM/DVD.
Es importante destacar que el virus 5N no era detectado
por la mayor parte de casas antivirus en el momento de su detección y análisis
por lo que un equipo con un antivirus actualizado podría no haber detectado su
infección en el equipo.
Solución
Para detectar si un equipo se encuentra infectado para
un usuario concreto, bastaría con iniciar sesión con el mismo usuario y pulsar
las teclas "Shift" + "Ctrl" + "Alt" +
"F7" y comprobar si aparece una ventana que solicita contraseña.
Dicha ventana es invocada por el propio virus y permite introducir una
contraseña para detener las acciones del mismo en el sistema. En el caso de
introducir una contraseña incorrecta 3 veces procede a apagar el equipo.
Por tanto, si se mostrara dicha ventana a la hora de
pulsar la combinación de teclas descrita anteriormente, serían síntomas de
infección.
Otra opción para detectar si su equipo está infectado
es iniciar la utilidad de símbolo del sistema a (Inicio > Ejecutar > cmd)
y ejecutar los siguientes comandos :
- dir %SystemDrive% /a /b /s | findstr -i drmvclt.exe
- dir D: /a /b /s | findstr -i drmvclt.exe
El segundo comando habrá que ejecutarlo en el caso de
que el ordenador tenga más de una unidad: D:, E:, F:, etc. Habría que cambiar
la letra D: por la que corresponda.
En el caso de mostrar alguna salida los comandos anteriores,
las cuales se corresponderían con las rutas en el sistema donde se encuentra
almacenado el virus drmvclt.exe,
se deberán anotar las mismas para posteriormente proceder a su eliminación.
Para
desinfectar el equipo y los posibles dispositivos extraibles infectados,
consulte la entrada correspondiente al virus 5N dentro de la base de datos de Virus de INTECO-CERTInformacion recibida por Cert.Interco
No hay comentarios: