jueves, 1 de junio de 2017

Virus de los accesos directos - Shortcut virus

                     (P) Hugo Napoli, 2017                   

Procedimiento proporcionado por Hugo Napoli para desinfectar ordenadores infectados con el “virus de los accesos directos”.

Modo manual.

 1.  Iniciar en "modo seguro" o "modo a prueba de fallos".

 2.a.  Mostrar los directorios y archivos ocultos.
 2.b.  Mostrar los archivos protegidos del sistema.

 3.  Eliminar el directorio "C:\Users\Usuario\AppData\Roaming\avecyr", con la combinación de teclas "  SHIFT  Supr  ".

Nota I: se debe sustituír la palabra "Usuario", por el nombre correspondiente al usuario de Windows.

Nota II: la carpeta "avecyr", fue descubierta según el procedimiento que se muestra en el video. Puede tener otro nombre, y para identificarla hay que observar su estado y contenido.

El estado debe ser "oculto" (para ello el paso 2 de esta pequeña guía).

Contenido: debe poseer unos 7 u 8 archivos; 1 o 2 serán archivos ejecutables (de extensión ".exe") y algunos otros (1 o 2, probablemente), serán "javascripts" (de extensión ".js"). También pueden encontrarse archivos sin extensión.

Si el nombre del denominado directorio no es "avecyr", pero posee dichas características, bórralo.

 4.  Eliminar del directorio "Inicio" de todos los usuarios la aplicación "Start" (la cual no es una carpeta, aunque posea un icono de ese tipo), con la combinación de teclas "  SHIFT  Supr  ".

 5.a.  Volver a ocultar los directorios y archivos que anteriormente estaban ocultos.
 5.b.  Volver a ocultar los archivos protegidos del sistema.

 6.  Reiniciar el ordenador.

7. Visitar el blog y dejar tus comentarios ☺

https://hugonapoli.blogspot.com


Material complementario: grabación y capturas de pantalla con el virus activo.


Video "descubriendo al virus". Derecho de autor: Hugo Napoli


Carpeta de inicio infectada


Análisis con el antivirus "Panda Free" actualizado.


El antivirus pudo identificar 4 amenazas, pero no al virus de los accesos directos.


Detalle de las 4 amenazas encontradas por el antivirus. Obsérvese que las mismas son todas del 1° de junio de 2017 (la misma fecha en la cual se escribió esta entrada).


Una de las consecuencias de la infección: el cambio persistente y permanente de la página de inicio de los navegadores instalados.



Puedes descargar los archivos generados por el virus de los accesos directos, incluido su código interno -es decir, el virus funcionando-, para propósitos de estudio. Para evitar la infección accidental de un Sistema Windows, se han alterado algunos nombres de archivo (en lo concerniente a su extensión), y se ha comprimido con la contraseña "1234" al paquete entero. En el paquete se halla un archivo tipo "pdf" con las instrucciones y aclaraciones pertinentes.

Descarga: https://drive.google.com/open?id=0BywUrhlSa7WUZW10ak82T1MteWM


ENTRADA EN CONSTRUCCIÓN