Hola, la verdad me gusta hacer este tipo de cosas, no hace mucho me tope con ese virus y por alguna razon se me hizo conocido o crei haberlo visto (a veces entro a leer aqui) por lo cual me di a la tarea de infectar una maquina de pruebas para anlizar el comportamiento de dicho malware y crear un script de desinfeccion tanto del sistema como de memorias que se encuentren conectadas, restaurando los archivos a su pocision original...
El virus al ejecutarse se adhiere a un proceso nativo del sistema para pasar desapercibido y desde alli infecta los nuevos dispositivos o memorias que se inserten, asi mismo esta constantemente ocultando archivos y asegurando que no se borren sus claves de registro.
El script lo que hace es (cerrar proceso nativo, limpiar temporales, analizar el registro y eliminar el virus, analizar las memorias USB y desinfectarlas)
@Echo Off
:: S.M.A.R.T - Simplified Malware Analisis and Removal Tool
:: This Script Removes FakeUSB Malware
:: TR/Crypt.Xpack.5314 - Worm.Gamarue.B - W32/Wauchos.LB!tr - Backdoor.Win32.Androm
:: https://www.virustotal.com/es/file/b832b82aa3656c9e2b62d693d9ee7c8b64bd1bd058b50506194eb9fa8ee9182a/analysis/1376005565/
:: Version: 1.0 (08-08-2013) Coded by SmartGenius
:Vars
Set "RunKey=HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
Set "Process=wupdmgr.exe"
:Main
Cls&Echo.
Echo. This Script Removes FakeUSB Malware - Coded by SmartGenius
Echo. Please Wait...
For %%A in (Kill, CleanTemp, RegKey, Removable) do (Call :%%A)
Echo.
Echo. Job Finished
Start "" Explorer
Echo.&Pause&Exit
:Kill
Echo. Checking if process is currently running...
Tasklist|find "%Process%" >nul
If %Errorlevel% EQU 0 (
Echo. Process "%Process%" ... is Running^!
Taskkill /F /Im %Process% 2>nul
Echo. Process "%Process%" ... Terminated^!
) else (Echo. Echo. Process:%Process% ... is not Running.)
Taskkill /F /Im explorer.exe >nul
Goto :Eof
:Regkey
Echo. Analyzing Run Registry keys
For /f "tokens=1,2,3" %%F in ('REG QUERY %RunKey%^|find ".com"') do (
Echo.&Echo. Entry: %%F&Echo. File : %%H
Set "VFile=%%H"
Set "RKey=%%F"
)
Echo. Deleting Key : "%RKey%"
REG DELETE %Runkey% /v %RKey% /f 2>nul
Echo. Deleting File: "%VFile%"
Del /F /Q "%VFile%" 2>nul
Goto :Eof
:CleanTemp
Echo. Deleting Temporaly Files and Folders
Pushd %temp%
For /f "tokens=1" %%D in ('DIR /B /A:D') do (RD /S /Q %%D 2>nul)
Del /f /q *.* 2>nul
Popd
Goto :Eof
:Removable
Echo. Analyzing removable drives
For %%U in (E,F,G,H,I,J,K,L,M,N,O) do (
If Exist "%%U:\Thumbs.db" (
Echo. Deleting malware from %%U:
Ping -n 1 127.0.0.1 >nul
Pushd %%U:
Attrib -r -s -h -a *.* >nul
For %%X in (lnk, xxc, ini, inf, db) do (Del /f /q *.%%X >nul)
Pause
Echo. Restoring Files...
Cd "ÿ"
Move /Y * %%U:\ >nul
For /f "tokens=*" %%D in ('dir /b /a:d') do (Move /Y "%%D" %%U:\)
Cd\&Rd "ÿ" /S /Q >nul
Popd
))
Goto :Eof
Espero que sea de ayuda, si tienes dudas acerca de su funcionamiento no dudeis en comentar
Saludos.