Cmo eliminar virus USB que oculta las carpetas / cmo evitar que nuevos virus infecten las

memorias USB
4 marzo, 2013 unrealmaverick Nota aclaratoria: dado que en mi pas se nombran a los pendrives o a las flash memory como memorias USB, me referir as a las mismas, o simplemente USB para abreviar. Por qu esta entrada? Bueno, comienzo preguntado, cuntas veces no se les ha metido un bicho en la memoria por puro descuido del dueo de esa terminal, y ms an, este bicho ha desaparecido los archivos? As comienza esta historia, con memorias infectadas. Siempre me ha parecido una falta de cuidado por parte de ciertos usuarios el mantenimiento de sus propios equipos, bien sea sus computadores, con la falsa seguridad de un antivirus que no les reporta o da cuenta del estado real del sistema, o bien sea sus propias memorias USB, con indiferencia de si est infectada y transmitiendo bichos por doquier. A esto ultimo, la brutal indiferencia con la que me he topado, con algunas personas que usan distros GNU/Linux o Mac OS X y decirles que la memoria que les voy a pasar esta limpia, responden pero ese no es problema mo, a mi esos virus no me afectan y al ver sus memorias en mi pc encontrar que estas estaban infectadas, y es indiferencia ya que si no los afecta, no se preocupan por no mantenerlas limpias y evitar ms propagaciones. Se que no son todas las personas, pero, como dije, me he topado con varios de esos casos, incluyendo varios profesores/as. Hace un par de semanas, en un computador de la fotocopiadora de medicina, mi novia insert su USB para imprimir un informe, y, sorpresa! se le prendieron ms de 75 bichos, incluyendo bellezas como Conficker y Stuxnet (lo s por el reporte de mi antivirus cuando la limpi), y al hacerles el comentario, la respuesta fue eso no puede ser, tenemos X antivirus (de los gratuitos que es bueno), y el tcnico la revis hace poco, esta libre de virus, eso debio pegarsele en otro lugar y ahora viene a decir que fue culpa nuestra Cmo utas lleg Stuxnet a un computador sencillito que se usa solo para imprimir cosas? a cuntas personas no se les habr prendido todos o muchos de esos bichos? Me pas algo similar cuando le di mi memoria a una persona que, la necesitaba para pasarme una info sumamente importante. As, se la pas, y cuando ya en mi casa la insert, encontr que estaba infectada, habindose eliminado todas las carpetas y reemplazadas por accesos directos, lo mismo que con los ejecutables (eso mismo tambin le sucedi a mi novia en lo que cont arriba). Esto es sumamente grave, teniendo en cuenta que en mi USB tengo, como ya vern, el hirens boot (como recordarn, adems de mis cuestiones profesionales y acadmicas tambin le cacharreo a los computadores), por lo que es supremamente importante que est limpia y libre de todo mal, y aunque solo tenia un bicho, igual estaba infectada y se hicieron modificaciones a mis archivos. Ahora les mostrar, con mi propia experiencia, cmo eliminar este molesto virus, recuperando todos los archivos y carpetas desaparecidas, y a continuacin cmo inmunizar la USB para que no vuelva a pasar esto.

Al insertar la memoria, antes que nada, hay que desinfectarla con nuestra solucin antivirus. Al ingresar al explorador de archivos, como pueden ver, aparecen todas las carpetas (exceptuando las que me pasaron la info) como si fuesen accesos directos, y todas con fecha de modificacin el instante en que el bicho se meti. As, oprim alt para que aparezca la barra de men, y all a Herramientas, y luego fui a Opciones de carpeta

Al hacer esto, se despliega una nueva ventana

Vamos a la pestaa Ver, y all seleccionamos Mostrar archivos, carpetas y unidades ocultas, y ms abajo deseleccionamos Ocultar archivos protegidos del sistema operativo (recomendado) y, esto es ABSOLUTAMENTE NECESARIO para algo que vamos a hacer ms adelante, tambin deseleccionamos Ocultar las extensiones de archivo para tipos de archivos conocidos. Particularmente yo ya tengo esa opcin sin seleccionar, porque quiero ver todas las extensiones, pero muchas personas no saben de la opcin, y no los ven, teniendo en cuenta que por defecto viene seleccionada. Al darle Aplicar, les saldr una advertencia, sobre mostrar los archivos protegidos, denle que s.

Ahora, vemos que en la carpeta aparecen todas las carpetas y archivos que se creian perdidos. Como dije antes, esta es la prueba, no estaban eliminados, solo ocultos a nuestra vista.

Si damos clic alterno a una de las carpetas, veremos de sus atributos que sus propiedades son, ser una carpeta de solo lectura, y, la propiedad de ser una carpeta oculta y de sistema (no la podremos modificar). La forma larga de recuperar las carpetas es, crear nuevas, eliminar las antiguas, y pasar los archivos, pero la forma como les dir es mucho ms fcil y rpida.

Lo que haremos a continuacin es seleccionar todos los accesos directos, as como ejecutables y carpetas que no nos sean usuales o hayamos creado (en este caso se aprecia la carpeta RECYCLER) y los eliminamos.

Una vez eliminados, vamos al Smbolo del Sistema, por cualquiera de los siguientes mtodos: Vamos al men Inicio, Todos los programas, accesorios, herramientas de sistema, o simplemente oprimimos la tecla Win + R y en el cuadro de texto escribimos cmd, o ms simple y rpido an, oprimimos la tecla Win, y al aparecer el men Inicio, escribimos cmd.

Entonces se nos abrir una nueva ventana, que es muy similar a lo que era el MS-DOS, vamos a la letra de unidad (en este caso la letra I), y escribimos el comando ATTRIB, de forma como describo a continuacin (ponemos lo que esta en cursiva; en negrilla es lo que ya aparece en letra blanca y no debemos escribirlo): C:\>Users\miusuario>I: I:\>attrib s h /s /d

Al escribir esto, pasan unos pocos segundos, cuando salga de nuevo la letra de unidad (insisto, en este caso es la I, depende de cules dispositivos tengan puede variar ente D y J, varia de PC a PC), entonces minimizamos el Smbolo del Sistema, y al abrir de nuevo la USB desde el explorador de archivos, veremos que todos los archivos y carpetas han aparecido donde deberan estar.

La explicacin de lo que hicimos es la siguiente: el comando ATTRIB se usa para cambiar los atributos de los archivos, al escribir s y h indicamos que queremos quitarles las propiedades de archivos de sistema (s) y ocultos (h) a todos los archivos, carpetas y subcarpetas que tengan esas propiedades (/s /d). Ahora procederemos a inmunizar la USB, para que no vuelvan a pasar estos incidentes. Creamos una carpeta nueva en el escritorio, que podamos eliminar facilmente despues, y creamos adentro una nueva carpeta.

Esta nueva carpeta que acabamos de crear la renombraremos Autorun.inf. Debe quedar as:

Ahora, daremos clic alterno en el fondo blanco y seleccionamos Nuevo > Documento de texto:

Vamos a crear 3 archivos de texto:

Los vamos a renombrar como DRIVER, RECYCLER y RESTORE.

Ahora debemos eliminar la extensin .txt de los archivos de texto, para que queden como archivos nada ms. Por eso deca antes que era importante que pudiramos ver las extensiones de archivo, si no la vemos debemos ir a las opciones de carpeta y habilitar poder verlas. Al momento de eliminar la extensin saldr una advertencia si deseamos eliminar la extensin, le decimos que s. As, ahora tenemos 4 archivos en nuestra carpeta: Autorun.inf, DRIVER, RECYCLER y RESTORE.

Lo siguiente es copiar los 4 elementos a la carpeta raz de la USB.

Si hay un archivo llamado Autorun.inf en el directorio raz de la USB, saldr un aviso de error diciendo que el archivo ya existe, y que le es imposible reemplazar. Lo que se hace es eliminar el archivo de la USB, y a continuacin, volver a copiar nuestro archivo. Ahora, vamos a cambiar los atributos de estos 4 elementos, no con el clic alterno sobre estos, ya que esos atributos se pueden cambiar

Por tal motivo vamos de nuevo al Simbolo de Sistema, ingresamos de nuevo a la memoria y escribimos lo siguiente (teniendo de nuevo en cuenta, la letra de mi USB es I, pero esto varia de PC en PC): C:\>Users\miusuario>I: I:\>attrib autorun.inf +r +s +h I:\>attrib driver +r +s +h I:\>attrib recycler +r +s +h I:\>attrib restore +r +s +h

Los archivos ahora deben verse as

Ahora, solo queda, entrar de nuevo en las opciones de carpeta, y en la pestaa ver seleccionamos NO mostrar archivos, carpetas y unidades ocultas, Ocultar archivos protegidos del sistema operativo (recomendado), y dependiendo de las preferencias de cada quien, si quieren o no seguir viendo las extensiones, Ocultar las extensiones de archivo para tipos de archivos conocidos. Las dos primeras opciones DEBEN por seguridad quedar seleccionadas, la ltima es segn cada quien quiera. Cmo se cuela un malware en la USB? Empecemos con RECYCLER: el computador infectado crea esta carpeta, y en ella crea una carpeta adicional llamada S-1-5-21-14824765011644491937-682003330-1013, dentro de esta generar un archivoDesktop.ini el cual, por un lado, le dar a su carpeta el icono de la Papelera de Reciclaje, pero adems, contiene la lnea[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} la cual hace que al hacer doble clic en ella se abra la propia Papelera, ocultando as el archivo infeccioso ejecutable que contaminar el computador donde se inserte. Algo similar ocurre con las carpetas DRIVER y RESTORE, aunque tambin pueden haber otras carpetas problemticas creadas para alojar y ocultar el ejecutable. En el caso del autorun, este archivo incluye instrucciones de ejecucin (se que abra un programa determinado, o que se muestre un icono en particular, de hecho, s se fijaron en las imgenes,

mi USB al principio apareca como Hirens BootCD y con un icono del programa, despus de reemplazar el archivo aparece simplemente como disco extraible, con el icono por defecto para estas unidades extraibles), y si bien este archivo no tiene problemas inicialmente, es usado por los virus para incluir las instrucciones de propagacin, reemplazando con estas las originales de lo que debe ejecutarse o mostrarse. Es decir, incluyen la instruccin de ejecutar el programa escondido en la carpeta RECYCLER de forma automtica, cosa bastante problemtica en Win XP, pero minimizada en Win 7, por lo que este ultimo SO es ms resistente a que se le active el archivo de malware de esta forma; an as, una buena solucin antivirus debera ser capaz de identificar y detener el ataque cuando ocurre de esta forma. Cuando el o los malwares que se instalan en la USB ocultan archivos y carpetas reemplazndolas por accesos directos, como me pas en la descripcin arriba en esta entrada, lo que buscan es que las personas hagan clic en los accesos directos creyendo que son sus archivos, activando el ejecutable y las instrucciones de instalacin y apropiacin del sistema. Lo que hicimos con los 4 elementos fue, crear archivos falsos. Esto es, una carpeta en vez de un archivo (autorun.inf) y un archivo en vez de una carpeta (RECYCLER y compaa), de forma que, como en el caso del error, no se pueda reemplazar. Esto es, no puede haber en la misma ubicacin una carpeta y un archivo con el mismo nombre, por tanto el malware no podr copiar y reemplazar nuestros archivos preparados, como s reemplaza un archivo autorun.inf genrico o de fabrica que incluya la USB. Adems, en la utilizacin del comando ATTRIB lo que estamos haciendo al escribir +r +s y +d es indicarle que al archivo mencionado en ese momento queremos darle las propiedades de archivo oculto (r), archivos de sistema (s) y ocultos (h), de esta forma nosotros no vamos a ver estos archivos cuando usemos nuestra memoria, y tendr una dificultad adicional para ser cambiado el archivo por una carpeta que aloje el archivo infectado. Espero esta gua sea de utilidad, y de buen provecho. Tada!!