elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el ttwitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos  (Leído 9,417 veces)
Graphixx


Desconectado Desconectado

Mensajes: 1.336


Full Stack Developer


Ver Perfil WWW
infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« en: 14 Octubre 2013, 03:14 »

Mis padres en sus oficinas cada rato llegan a casa con sus USB infectadas por qecddxsldm.vbs
puedo volver los archivos ocultos a su estado normal con el programa USB Show (http://ldc.mx/usbshow.php),
alguien conoce algun antivirus que se le pueda instalar a la USB para que no se le vuelva a pegar ese molesto virus???


En casa las desinfecto con Kaspersky.
En línea

Nada tiene fin solo hay pequeñas pausas, pausas que determinan el comienzo de otros. Graphixx
Mi blog
noele1995

Desconectado Desconectado

Mensajes: 137



Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #1 en: 14 Octubre 2013, 14:16 »

No se puede instalar un AV en una memoria usb, el AV hay que instalarlo en el pc infectado.
En línea

Flamer


Desconectado Desconectado

Mensajes: 1.026


crack, crack y mas crack...


Ver Perfil WWW
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #2 en: 16 Octubre 2013, 00:06 »

hola graphix nose que otras utilidades tiene ese programa pero desde la consola puedes volver los archivos a su normalidad y borrar los accesos directos asi:

Código:
attrib -s -r -h /s /d & del /f *.lnk


otra cosa si es vbscript puedes analisar la muestra  y de paso puedes subir otra aca al foro

saludos Flamer
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.852


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #3 en: 16 Octubre 2013, 00:32 »

Si es USB, deberia ejecutarse usando autorun.inf, no?

Si es asi, una vez limpio el USB puedes crear un directorio autorun.inf en el USB. Colocarlo como solo lectura, sistema (no oculto, asi sabes si hay cambios en el USB).

Luego adentro le metes un file de 1 a n bytes, que se llame como sea. Batsa con que el directorio no este vacio.

Ese file podria ser readonly/sistema tambien.

Y con eso deberia bastar, siempre y cuando el virus no la borre (aunque si lo intenta, deberia tener en cuenta que no es un archivo sino un directorio y que ademas, esta lleno).

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Flamer


Desconectado Desconectado

Mensajes: 1.026


crack, crack y mas crack...


Ver Perfil WWW
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #4 en: 16 Octubre 2013, 01:23 »

Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.852


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #5 en: 16 Octubre 2013, 04:06 »

Hola Fly los virus de ahora ya no usan el autorun para ejecutarse.

lo que hacen ahora es crearte accesos directos a todos los archivos de la USB que se encuentran en la raiz y el archivo original le ponen el atributo oculto y cuando le das clic al acceso directo te infectas ya que ejecuta el acceso directo y el virus

Tambien e visto casos que todos los archivos te los meten a una sola carpeta con el atributo oculto y un acceso directo a puntando a ella

saludos Flamer

OK, pero si partis desde la base que tu maquina no esta infectada, la pregunta es: como se infecta? Como se ejecuta el virus? Como hace para crear los .lnk? Usa un exploit?
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

TheChivo

Desconectado Desconectado

Mensajes: 139



Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #6 en: 16 Octubre 2013, 07:13 »

MCKSys Argentina

Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.
Ahora cuando metas una USB sana la maquina modificara todos los programas y archivos de la USB para que el proceso se repita, yoo lo llamo "El CiberSIDA"

Llendo por este tema, me cayó uno de esos que usan VBS pero lo pobre en un nuevo post a ver que sale y si me pueden ayudar a deshacerme de el, si quieren verlo y tratar de figurar que hace, aqui esta el post http://foro.elhacker.net/analisis_y_diseno_de_malware/infeccion_de_usb_y_equipo_por_fyzbnaksvuvbs-t400762.0.html . Suerte!
« Última modificación: 16 Octubre 2013, 07:32 por TheChivo » En línea

Flamer


Desconectado Desconectado

Mensajes: 1.026


crack, crack y mas crack...


Ver Perfil WWW
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #7 en: 16 Octubre 2013, 20:27 »

Citar
OK, pero si partis desde la base que tu
maquina no esta infectada, la pregunta es:
como se infecta? Como se ejecuta el virus?
Como hace para crear los .lnk? Usa un
exploit?
hola fly para infectar la maquina se tiene que ejecutar el virus y para eso el acceso directo ejecuta esto en la ruta que tiene;

Código:
cmd /c virus.vbs&archivo.txt

y para crear los lnk pues en vbs se puede

saludos flamer
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.852


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #8 en: 17 Octubre 2013, 15:42 »

Tu maquina no esta infectada, pero la USB si, se aprovecha del elemento mas debil de la cadena, el usuario, este al ver el acceso directo no no ta la flecha, cree que es su archivo y hace doble click sin investigar antes y "Puf!" maquina infectada.

Ahhhh, asi si. En ese caso el consejo es basico: quítenle la pc al user y mándenlo a aprender antes de usarla... jejeje  >:D

O bien pongale un AV que permita bloquear los .lnk en unidades extraibles, o hagan un proggie que haga eso...

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

TheChivo

Desconectado Desconectado

Mensajes: 139



Ver Perfil
Re: infectado:qecddxsldm.vbs,Virus de la USB que convierte todo en accesos directos
« Respuesta #9 en: 18 Octubre 2013, 09:44 »

jajaja, Andamos desde el año 2000 queriendo educar al usuario, pero parece ser que no les interesa aprender, solo quieren bajar musica con kazaa, limewire, ares, quieren instalar una version de Halo que se bajaron que pesa 300kb, solo  les interesa meter memoria copiar, pegar, sacar, y ponerse a compartir en facebook que desayunaron. Para nada se interesan en conocer los riesgos del ambiente en que se mueven.

El usuario siempre será el eslabon mas debil. El acceso ilegal a cuentas ya no se hace por cracking o por "hackeo" sino que se usa ingenieria social para engañar al usuario y hacer que este te de su contraseña (tecnicamente, esto hace que no sea ilegal, pero bueno, no soy abogado). Bueno, solo queria comentar eso, ya me retiro que acá ya son las 3 am y tengo sueño XD.

Salu2!
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines