jueves, 16 de septiembre de 2010

Virus y accesos directos

Un amigo me ha dicho que se le ha colado un bicho en varios ordenadores suyos y que después de eliminar alguno de los EXEs malignos, las carpetas del disco duro externo se le habían convertido en accesos directos. Me sonaba mucho el tema, pero no estaba muy seguro de cómo solucionarlo.

Bueno. Pues buscando, a la primera he encontrado una posible solución. Lo único, que creo que le falta algo más.

El caso es que este bicho parece que modifica las propiedades de los ficheros de los dispositivos infectados. Lo único que hay que hacer es ejecutar el comando attrib con una serie de parámetros.

attrib /d /s -r -h -s *.*

Si hacemos un

attrib /?

nos muestra la ayuda. En negrita pongo los parámetros que utilizamos:

ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]

[unidad:][ruta][nombreDeArchivo] [/S [/D] [/L]]

+ Establece un atributo.
- Borra un atributo.
R Atributo de sólo lectura del archivo.
A Atributo de archivo de almacenamiento.
S Atributo de archivos del sistema.
H Atributo de archivo oculto.

I No atributo de archivo indizado de contenido.
[unidad:][ruta][nombreDeArchivo]
Especifica el archivo o archivos que serán afectados por ATTRIB
/S Procesa archivos que coinciden en la carpeta y todas las subcarpetas actuales.
/D También procesa carpetas.

/L Se trabaja en los atributos del vínculo simbólico en vez de en el destino del vínculo simbólico

También habla de utilizar unlocker para liberar los ficheros ejecutables que tienen el malware y así poderlos borrar. Lo único que se queda algo en el tintero. Cada vez que reinicies, el bicho, si está en tu sistema, se puede volver a cargar. Si lo borras del sistema, se renombrará, tal y como le ha pasado a mi amigo. Además, de las trazas que deja en el registro. Luego, lo suyo sería desinfectar el sistema por un lado, y borrar esos ficheros por otro (por ejemplo, en modo off-line o con un live-cd). 

Si no lo consigue, os lo contaré. Aún así, ¿a alguien le ha pasado esto? ¿Si es así, qué ha hecho? ¿Qué haríais vosotros en un caso como este?

No hay comentarios:

Publicar un comentario