Cómo mecanismo de seguridad muchos laboratorios de computación, se han visto privado del servicio de red.
El mismo es un troyano.
El "troyano" lo que hace es ejecutar comandos de ping de esta forma:
ping -t -n 100000 -l 65500 -w 1 192.168.200.1
Lo que quiere significa que por cada t lo repetirá 10000 veces con un búfer de datos de 65500 cada 1 milisegundo por lo cual se congestionaría la red con una sola vez que se ejecute este comando, ahora bien este malware utiliza el servicio programador de tareas para poder ejecutar este comando muchas veces, por lo que si llegara a infectar una pc que tenga el servicio deshabilitado o detenido, no puede hacer nada ni siquiera propagarse, por lo que mi principal consejo es que se deshabilite este servicio que al final pocos lo usamos lo usamos y windows lo trae habilitado por defecto.
Para deshabilitarlo podemos ejecutar el siguiente comando en el cmd.
sc config schedule start=disabled
Hecho esto podremos estar seguros de que el malware no podra infectarnos ni se nos va a congestionar la red.
Muchas personas quizás desconozcan como descontaminar este malware aquí les dejo una serie de pasos que espero les sean ultil.
Cómo desinfectar su máquina
1- Cómo medida adicional desconecte su PC de la red. Luego proceda a reiniciarla y acceder a la misma en Modo a Prueba de Fallos (Modo seguro).
2- Diríjase a la carpeta Documents and Settings en C: y luego en All Users en la carpeta de Favoritos.
3- Para visualizar el archivo ejecutable services.exe si el mismo no es visible haga lo siguiente. En opciones de carpeta en la barra de menú en Herramientas, acceda a Opciones de carpeta. Luego active en la pestaña Ver, Mostrar archivos ocultos. Por último desactivar la protección, Ocultar archivos protegidos del sistema operativo (recomendado).
4- Si el archivo services.exe no aparece como un clásico archivo ejecutable de MS-DOS, o sea, un cuadrado blanco o negro en forma rectangular su PC está infectada. El troyano aparece en la forma de un casco al estilo de las guerras troyanas con un texto que indica C++.
5- Luego proceder a escanear la PC con cleanvilsel.exe. Este procedimiento no parece ser muy efectivo sobre este tipo de troyano ya que no lo he visto eliminarlo, pero cómo protección adicional y para revisar el resto de los archivos de su máquina es aconsejable.
6- Paso fundamental ejecute al terminar de escanear los script para desinfectar: Favorites_EN.exe ó Favorites_ES.exe en dependencia de si su Sistema Operativo está en inglés o en español. Este procedimiento eliminará el services.exe contaminado y lo sustituirá por uno nuevo.
7- Para garantizar que la infección no se vuelva a producir. De clic derecho sobre services.exe y vaya a sus propiedades a la pestaña Seguridad. Luego clic sobre “Opciones avanzadas”. Desmarque el cuadro: “Heredar del objeto principal las entradas de permisos relativos…”. Clic en “Quitar”.
8- Al aplicar el proceso anterior y volver a la pestaña de seguridad observará que en el listado de los usuarios que aparece en la parte superior no aparece ninguno con permisos sobre este ejecutable. Proceda con el botón “Agregar” a adicionar el usuario “System”, al hacerlo y volver a la ventana de Seguridad nuevamente deniegue todos los permisos de este usuario sobre el ejecutable y aplique los cambios. Esto garantizará que no sea nuevamente modificado el mismo.
Ahora bien después de hacer los pasos de arriba podemos ir al registro y restaurar la siguiente clave que el virus modifica para ejecutarse una vez que se inicia el sistema, la clave es la siguiente:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
buscamos ahora el valor "Shell" y modificamos su contenido restableciéndolo a "Explorer.exe"
o podemos poner el siguiente comando en el cmd.
reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe" /f
Espero que les sirva.
S@ludos.
El mismo es un troyano.
El "troyano" lo que hace es ejecutar comandos de ping de esta forma:
ping -t -n 100000 -l 65500 -w 1 192.168.200.1
Lo que quiere significa que por cada t lo repetirá 10000 veces con un búfer de datos de 65500 cada 1 milisegundo por lo cual se congestionaría la red con una sola vez que se ejecute este comando, ahora bien este malware utiliza el servicio programador de tareas para poder ejecutar este comando muchas veces, por lo que si llegara a infectar una pc que tenga el servicio deshabilitado o detenido, no puede hacer nada ni siquiera propagarse, por lo que mi principal consejo es que se deshabilite este servicio que al final pocos lo usamos lo usamos y windows lo trae habilitado por defecto.
Para deshabilitarlo podemos ejecutar el siguiente comando en el cmd.
sc config schedule start=disabled
Hecho esto podremos estar seguros de que el malware no podra infectarnos ni se nos va a congestionar la red.
Muchas personas quizás desconozcan como descontaminar este malware aquí les dejo una serie de pasos que espero les sean ultil.
Cómo desinfectar su máquina
1- Cómo medida adicional desconecte su PC de la red. Luego proceda a reiniciarla y acceder a la misma en Modo a Prueba de Fallos (Modo seguro).
2- Diríjase a la carpeta Documents and Settings en C: y luego en All Users en la carpeta de Favoritos.
3- Para visualizar el archivo ejecutable services.exe si el mismo no es visible haga lo siguiente. En opciones de carpeta en la barra de menú en Herramientas, acceda a Opciones de carpeta. Luego active en la pestaña Ver, Mostrar archivos ocultos. Por último desactivar la protección, Ocultar archivos protegidos del sistema operativo (recomendado).
4- Si el archivo services.exe no aparece como un clásico archivo ejecutable de MS-DOS, o sea, un cuadrado blanco o negro en forma rectangular su PC está infectada. El troyano aparece en la forma de un casco al estilo de las guerras troyanas con un texto que indica C++.
5- Luego proceder a escanear la PC con cleanvilsel.exe. Este procedimiento no parece ser muy efectivo sobre este tipo de troyano ya que no lo he visto eliminarlo, pero cómo protección adicional y para revisar el resto de los archivos de su máquina es aconsejable.
6- Paso fundamental ejecute al terminar de escanear los script para desinfectar: Favorites_EN.exe ó Favorites_ES.exe en dependencia de si su Sistema Operativo está en inglés o en español. Este procedimiento eliminará el services.exe contaminado y lo sustituirá por uno nuevo.
7- Para garantizar que la infección no se vuelva a producir. De clic derecho sobre services.exe y vaya a sus propiedades a la pestaña Seguridad. Luego clic sobre “Opciones avanzadas”. Desmarque el cuadro: “Heredar del objeto principal las entradas de permisos relativos…”. Clic en “Quitar”.
8- Al aplicar el proceso anterior y volver a la pestaña de seguridad observará que en el listado de los usuarios que aparece en la parte superior no aparece ninguno con permisos sobre este ejecutable. Proceda con el botón “Agregar” a adicionar el usuario “System”, al hacerlo y volver a la ventana de Seguridad nuevamente deniegue todos los permisos de este usuario sobre el ejecutable y aplique los cambios. Esto garantizará que no sea nuevamente modificado el mismo.
Ahora bien después de hacer los pasos de arriba podemos ir al registro y restaurar la siguiente clave que el virus modifica para ejecutarse una vez que se inicia el sistema, la clave es la siguiente:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
buscamos ahora el valor "Shell" y modificamos su contenido restableciéndolo a "Explorer.exe"
o podemos poner el siguiente comando en el cmd.
reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "Explorer.exe" /f
Espero que les sirva.
S@ludos.
No hay comentarios:
Publicar un comentario