Virus (w32.vrbat) usbcheck.exe ataca disco duro
NOTA:Para mayor informacion de sitios infectados con virus visita mi web
Considerado como uno de los programas malignos más devastadores de los últimos años USBCheck.exe es el nombre del archivo responsable de la rotura de miles de HDD de todas las marcas reconocidas, es un virus que se propaga por las unidades USB aprovechando la vulnerabilidad de Windows de auto ejecución de archivos (Autorun.inf).
EL CONTAGIO:
Al insertar una unidad extraíble contaminada el programa auto ejecuta el fichero oculto USBCheck.exe por mediación del archivo autorun.inf como se describe en la imagen. (la ejecución automática no ocurre en sistemas que tengan deshabilitada esta opción, solo se activa al ejecutar manualmente la aplicación.)
Una vez infectada la PC el virus se hace una copia en la carpeta Windows con el nombre de svchost.exe (simulando un proceso del sistema), esto permite que sea difícil finalizar el proceso desde el Administrador de Tareas y pase inadvertido por la mayoría de los usuarios, puede ser identificado ya que es el único proceso svchost.exe que se ejecuta con privilegios de usuario en vez de sistema.
Como suele ocurrir el programa deja su huella en el Registro de Windows, específicamente en la cadena:
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Modifica el valor “Shell” agregándole seguido del explorer.exe la ubicación del virus (svchost.exe)
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Modifica el valor “Shell” agregándole seguido del explorer.exe la ubicación del virus (svchost.exe)
De este modo se garantiza que sea ejecutado cada vez que reinicia el sistema como si se tratara de un proceso legítimo de Windows.
El conteo regresivo del virus se almacena en esta cadena:
El conteo regresivo del virus se almacena en esta cadena:
HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1
PROPAGACIÓN
PROPAGACIÓN
Cuando el programa reside en memoria vigila cada nueva unidad extraíble conectada y le crea sus clones en las raíces de las mismas:USBCheck.exe y autorun.inf.
El virus por si solo no produce ninguna acción visible en los primeros días, solo que va haciendo un conteo regresivo en el registro de Windows hasta llegada la fecha programada para lanzar su ataque final.
EL ATAQUE:
Luego de pasar varios días en el ordenador y haber cumplido su misión de auto propagación en varias memorias extraíbles el programa se prepara para lanzar un ataque a todos los discos físicos conectados a la PC.
Antes del último reinicio del sistema crea dos archivos en la raíz de C:\ con el nombre reco.bin y reco.sys.
El archivo reco.bin da las instrucciones para desatar el virus con el siguiente llamado a su compañero reco.sys:
Una vez ejecutado el mini sistema reco.sys el virus identifica todos los discos duros (HDD) conectados al ordenador sean IDE o SATA y procede a la fase de bloqueo con contraseña (ATA PASSWORD)
De forma simplificada explico su funcionamiento:
Todos los HDD tienen una protección adicional establecida como nivel de seguridad por el fabricante para poder proteger la información de las unidades en casos de comprometerse la seguridad de algunos sistemas que usan en la actualidad este mecanismo, funciona como medida de prevención para el acceso a los datos por personas o software malintencionado.
Por defecto los HDD destinados a las PC comercial traen las passwords deshabilitadas, el virus aprovecha esta vulnerabilidad para establecer una contraseña a nivel de usuario que impide el acceso total a las informaciones.
La mayoría de los programas y herramientas comunes usadas para diagnosticar y reparar los HDD no advierten o no saben diferenciar cuando un disco se encuentra bloqueado mediante ATA PASSWORD, simplemente parece que todos sus sectores están dañados y por tanto el usuario da por perdida las informaciones y no tiene ni la más remota idea de como volver a recuperarlas.
RECUPERACIÓN:
Desbloquear una unidad protegida con contraseña es “casi” imposible de lograr, a no ser que conozca la clave de cualquiera de sus dos niveles USER o MASTER, pero no se preocupen ya nos hemos roto la cabeza por ustedes y les traemos la solución para remediar el ataque de USBCheck.exe y volver a ver todos sus datos intactos.
En los próximos días estaremos abordando más en este espacio sobre el tema, póximamente publicaremos una nueva variedad de píldora digital para reparar los HDD dañados…
HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA:
HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA:
Si usted tiene en su PC el virus y aún no se ha desatado la fase destructiva en sus HDD preste mucha atención y siga estos pasos al pie de la letra:
1. No apague o reinicie su computadora hasta que no la halla desinfectado (Puede ser que el conteo regresivo del virus en su sistema halla llegado al límite y esta sea la última vez que vuelva a ver a sus discos duros funcionando.)
2. Descargue la colección de Píldoras Digitales (aquí) y luego ejecute la píldora DP_USBCheck.exe. Recomiendo ejecutar todas las píldoras para la eliminación de otros posibles virus.
3. Haga clic en el botón “Escanear PC” (si el virus está activo la píldora eliminará de su sistema todo rastro del mismo).
3. Haga clic en el botón “Escanear PC” (si el virus está activo la píldora eliminará de su sistema todo rastro del mismo).
4. Para evitar infectarse de este y otros virus que acceden mediante sus dispositivos USB descargue cuanto antes USB-AV Antivirus (aquí) y manténgalo actualizado de forma diaria si le es posible
.
.
