pesadillo.com » virus

El virus AMVO… que oculta carpetas

pesadillo — Tue, 07 Jun 2011 23:00:53 +0000

El comportamiento de este virus es interesante:
1. Se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf.
Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios
sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como
un CD, DVD o memorias USB.En el caso de las familia de S.O. de Microsoft si se desea
realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un
archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB.
La estructura típica de un archivo autorun.inf es:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico
En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus:
en la sección Open llama a los siguientes archivos:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com
2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los
archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos
archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se
muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los
siguientes nombres de archivo:
C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3. Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que
inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra
escribiendo en el Registro del sistema lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
o
Perucomputec.com
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el
directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a
los mostrados arriba. De este modo cuando el usuario haga doble click en MiPC y luego
abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. Osea
estarán repitiendo el paso 1.
5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema
de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed]
“Hidden”=dword:00000002
Una vez que conocemos el comportamiento de este virus, podemos proceder a su
eliminación de forma manual si se desea.
Esto es lo que se debe hacer en la Unidad C:

1. Finalizar los procesos activos del virus, osea los ejecutables: amvo.exe y avpo.exe desde
la línea de comandos:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
2. Quitar los atributos de sistema, de oculto y de sólo lectura a los archivos mencionados,
esto se logra usando los siguientes comandos desde la consola:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\uxde?ect.com
3. Proceder a la eliminación de estos archivos usando el comando delete con la opción /f
para forzar el borrado, la opción /q para borrar sin pedir confirmación y la opción /a para
indicar que son archivos con atributos los que se van a eliminar, desde la línea de comandos:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\uxde?ect.com /f /q /a
4. Ahora quitamos los permisos de solo lectura, oculto y sistema a los archivos que quedaron
en la carpeta C:\windows\system32:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
5. Una vez quitados los atributos procedemos a eliminar los archivos del virus de la carpeta
C:\windows\system32:
del /f c:\windows\system32\amvo.exe
del /f c:\windows\system32\avpo.exe
del /f c:\windows\system32\amvo0.dll
del /f c:\windows\system32\amvo1.dll
del /f c:\windows\system32\avpo0.dll
del /f c:\windows\system32\avpo1.dll
6. Ahora borramos del registro los valores creados por el virus para evitar su ejecución
automática al inicio del sistema, desde la línea de comandos:
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v
amva /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v
avpo /f
7. Y restauramos la opción de poder ver los archivos ocultos y de sistema, desde la línea de
comandos:
reg add
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanc
ed\ /v Hidden /t REG_DWORD /d 1 /f
8. Repetir los pasos 1-7 en todas las unidades.
9. Reiniciar el computador.

Como verás el proceso de la eliminación de este virus es posible de forma manual pero como
habrás notado también es un poco tedioso y más aún si no estás familiarizado con la Línea
de comandos a.k.a. CMD.EXE.

Como eliminar virus que oculta carpetas en Pendrive

pesadillo — Tue, 31 May 2011 23:00:47 +0000

Te ha pasado que abres tu pendrive y sólo aparecen accesos directos y las Carpetas no aparecen, pues esto es producto de un virus llamado ambo.exe y los pasos para eliminarlo son los siguientes:

1.-Actualizar tu antivirus
2.-Corre el antivirus para que lo detecte y elimine.
3.-Actualiza el anti malware y lo ejecutas para que detecte y elimine.
4.-Limpiar registros y archivos temporales con Ccleaner.
5.-Abrir el administrador de tareas y parar procesos .exe desconocidos.
6.-Borrar archivos temporales de cuentas de usuarios y Windows.
7.-Para temporales de Usuarios ir a inicio –ejecutar y escribir comando %temp% el cual abrirá la carpeta temporal de la cuenta actual, seleccionar todo y eliminar.
8.-Abrir pendrive y eliminar accesos directos y archivos .exe desconocidos. Después, eliminar archivo oculto autorun.inf, abrir block de notas y con el documento en blanco dar guardar como y pones el nombre de autorun.inf en el pendrive.
Y por último, bajar programa recuperación.exe desde Aquí, (http://www.infoaula.ucm.cl/index.php?option=com_phocadownload&view=file&id=6:recupera-archivos-ocultos&Itemid=2)
lo ejecutas, seleccionas pendrive y das clic en ver carpetas ocultas, después reparar carpetas y listo, tus carpetas quedan a la vista.

Mediante un script:
Abrir fichero de texto, copiar este contenido y guardar con extension .vbs

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
	    "a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
            "80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")

Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives

Wscript.Echo "www.perucomputec.com"

Wscript.Echo "Software provisto por Yaev para eliminación del software malicioso amvo, avpo, n1detect y variantes"
Wscript.Echo "El proceso de búsqueda y eliminación puede tardar algunos segundos. Sea paciente por favor."

i=0
For Each objDrive in colDrives
	If objDrive.IsReady = True Then
		nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
		Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
		strIpFileText = objTextStream.ReadAll
		objTextStream.Close
	End If
Next

Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)

i=0
For Each element In colRegexMatches1
	element = Replace(element,"=","")
	WScript.Echo "Procediendo a borrar archivo de virus :" & element
	For Each objDrive in colDrives
		If objDrive.IsReady = True Then
			Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter

			nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
			nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

			nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
			nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
			nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

			nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
			nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
			nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

		End If
	Next
	i = i + 1
Next

Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

	nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
	nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
	nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

	nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
	nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

        nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
	nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

	nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
	nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)

	nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
	nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

	nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

WScript.Echo "Se procederá a resturar el registro de sistema para poder ver los archivos Ocultos"

	nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
	nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
	nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

	nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
	nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
	nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)

	nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
	nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

	nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
	nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
	nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)

	nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
	nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

	nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)

	nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
	nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
	nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)

nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)

	nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
	nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
	nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)

	nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
	nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)

        nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
	nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)

	nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)
	nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)

For Each objDrive in colDrives
	If objDrive.IsReady = True Then
		For X=0 to UBound(Lista)
			nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
			nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
		Next
	End If
Next

WScript.Echo "Felicidades! Su PC está desinfectada del virus amvo y sus variantes"
WScript.Echo "www.perucomputec.com"
WScript. Quit(0)

Fuente: http://soportedi.blogspot.com/2011/05/como-eliminar-virus-que-oculta-carpetas.html

Eliminar el virus eexplorer.exe

pesadillo — Sun, 24 Apr 2011 23:35:33 +0000

En pasados días mi computador tuvo un pequeño problema. Todo empezó cuando la página de Inicio de Internet Explorer cambio sin permiso alguno y la volvía a poner, pero se restablecía una con un buscador desconocido para mí. Posteriormente aparecían ventanas emergentes con publicidad cada 5 a 10 minutos.
Siempre que pasan estos sucesos reviso en el Administrador de Tareas en la pestaña de Procesos y mirar algún proceso sospechoso y así fue, un proceso denominado “Eexplorer.exe” que al darle finalizar volvía a ejecutarse y al entrar a la ubicación del archivo que fue en el fichero System32 y al tratar de borrarlo indicaba que debía tener privilegios de Administrador.

Después ejecute el antivirus pero no detectó ninguna anomalía, luego el Cleanner y tampoco. Busque alguna solución en Internet pero ninguna fue efectiva, renombré el archivo Eexplorer.exe pero igual no se dejaba eliminar. Pensé que formatear era el último recurso para desaparecer este problema.

Al probar todas las alternativas posibles. Moví el archivo Eexplorer.exe al Escritorio y verifique que no se estuviera duplicando. Regrese al Administrador de Tareas y ubique el proceso Eexplorer.exe y le di clic derecho dándole la función Finalizar el árbol de Procesos y en ese momento dejo de ejecutarse. Ubique el archivo Eexplorer.exe que había movido al Escritorio y finalmente lo pude eliminar. Ejecute el Cleaner y el Antivirus y Eexplorer.exe dejo de existir. Espero que esta solución les sirva y no les dé mucho problema.

Identifican al hacker amante de la moda que robó imágenes inéditas de revistas

pesadillo — Thu, 27 Jan 2011 23:19:03 +0000

La policía estadounidense ha identificado a un pirata informático que el año pasado penetró en los servidores de Conde Nast para robar imágenes inéditas de moda y celebridades.

Ross Ulrich, un estudiante de Diseño Gráfico de 22 años, admitió que había robado las fotos para ser el primero en publicarlas en su blog. Ulrich explicó que los blogs y sitios de fanáticos compiten por tener acceso a fotos de paparazzis y de agencias de fotografía antes que sus rivales. Las fotos son más valoradas si son inéditas y tienen buena resolución.

Ulrich afirma que encontró en Google un listado de sitios web comprometidos, en los que se mostraban las direcciones FTP y contraseñas para acceder al contenido de los sitios. Esto hizo que el intruso no necesitara forzar su ingreso a los servidores. Sin embargo, Ulrich recalcó que este tipo de datos está a la venta en el mercado negro.

El intruso consiguió imágenes de Demi Moore que iban a aparecer en la portada de diciembre de 2009 de la revista “W”. Ulrich no tardó en publicarlas en su blog, pero Conde Nast también reaccionó pronto y ordenó al joven que las retirara del sitio.

Pero esta no es la única imagen que Ulrich robó de los servidores comprometidos: en total descargó 1.100 archivos, muchos de los cuales compartió en Internet con otros amantes de la moda. Entre estos archivos se encontraban fotos que iban a publicarse en las revistas GQ, Vogue, Lucky y Teen Vogue.

El atacante también admitió que había penetrado en los servidores de Warner Bros., desde donde tuvo acceso a imágenes y videos de películas que todavía no habían terminado de producirse. El intruso también irrumpió en sitios de empresas de publicidad y otras revistas de moda.

Ulrich hizo un trato con Conde Nast y deberá pagarle una indemnización de $12.000 para evitar un juicio y una posible condena de prisión por violar sus derechos de autor. Warner Bros. también había demandado al atacante, pero todavía no se sabe qué giro tomará este proceso ahora que se conoce la identidad del intruso.

Fuente: Kaspersky Lab

Proteger nuestros USB de infecciones con AUTORUN.INF y nuestro equipo

pesadillo — Tue, 11 Jan 2011 23:59:16 +0000

Primer método.

Panda ha desarrollado USB Vaccine, una herramienta antivirus USB gratuita que permite evitar que se ejecute el autorun de los dispositivos que se conecten e impedir que se creen archivos autorun.inf en nuestros dispositivos USB.
Recomiendo encarecidamente este método para proteger la autoejecución en los USB.

Panda USB Vaccine: http://www.pandasecurity.com/spain/h…ds/usbvaccine/

Segundo método.

Deshabilitar la ejecución de los autorun.inf, crando un archivo.reg con el block de notas con este contenido ->

Código:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
       @=" @SYS:DoesNotExist"

En algunas ocasiones, el valor no se agrega a la entrada asique habria que comprobarlo manualmente en la direccion y si el valor estuviera vacio, añadirlo manualmente introduciondo “@SYSoesNotExist”

Tercer método.

También otro método es creando una carpeta con nombre “Autorun.inf” con atributos de sólo lectura, y crear dentro de esta misma carpeta una segunda carpeta con nombre de “dispositivo” los cuales son reservados como: CON, COM1, PRN, LPT1, etc. Esto se logra creando el directorio usando las rutas del tipo UNC lo cual evita que sea borrado o modificado facilmente por cualquier malware. Un ejemplo de ello es gracias a este script facilitado por 0X0309

Código:

 @ECHO OFF
:: RDAP.CMD
:: REMOVABLE DRIVE AUTORUN PROTECTOR Version 12:44 14-03-2009
::
:: ONLY FOR RUN UNDER WINDOWS XP AND REMOVABLE DRIVE WITH FAT OR FAT32 FILESYSTEM.
::
:: AUTHOR: 0X0309
::
TITLE REMOVABLE DRIVE AUTORUN PROTECTOR
SETLOCAL ENABLEEXTENSIONS

VER | FIND /i " XP"*** >NUL
IF ERRORLEVEL -1 IF ERRORLEVEL 1 (
ECHO. SCRIPT ONLY FOR WINDOWS XP.
GOTO END
)

ECHO\Detecting removable drives . . .
SET "TXT=530054004F00520041"
FOR /F "DELIMS=\: TOKENS=0X3" %%^^ IN ('REG QUERY HKLM\SYSTEM\MOUNTEDDEVICES ^| FIND "%TXT%"') DO (
VOL %%^^: 8>NUL 1>&8 2>&1 && (
ECHO\Found removable drive %%^^:
CHKDSK %%^^: 0>NUL 2>&0 | FIND " FAT" >NUL
IF ERRORLEVEL 0 IF NOT ERRORLEVEL 1 (
IF EXIST %%^^:\AUTORUN.INF (DEL /F /Q /A %%^^:\AUTORUN.INF 7>NUL 1>&7 2>&1)
IF EXIST %%^^:\AUTORUN.INF (RD /Q /S \\?\%%^^:\AUTORUN.INF 6>NUL 1>&6 2>&1)
(MD \\?\%%^^:\AUTORUN.INF\...\) 5>NUL 1>&5 2>&1
(RD /Q /S \\?\%%^^:\AUTORUN.INF\...) 4>NUL 1>&4 2>&1
(CD.>\\?\%%^^:\AUTORUN.INF\NUL) 3>NUL 1>&3 2>&1
(MD \\?\%%^^:\AUTORUN.INF\...\%RANDOM%\...\ 9>NUL 1>&9 2>&1)
IF EXIST %%^^:\AUTORUN.INF (ECHO\The removable drive %%^^: was protected.)
) ELSE (ECHO. %%^^: IS NOT WITH FILESYSTEM FAT OR FAT32.)
)
)

:END
(0>NUL SET /P %%=Press a key to quit . . . )
PAUSE >NUL
GOTO :EOF

Cuarto método.

Otra manera MUY interesante de bloquear totalmente nuestro autorun.inf, sin que nosostros mismos podamos sobrescribirlo es aprovechándonos de FAT32.

Tomar en cuenta que la mayoría de memorias USB tiene el sistema de archivos FAT o FAT32.

Ahora, si revisamos a fondo la estructura del sistema de archivos FAT32, encontraremos cosas interesantes.

Nota: Si deseas saber más sobre sistemas de archivos puedes leer los siguientes enlaces:
http://es.wikipedia.org/wiki/FAT
http://en.wikipedia.org/wiki/File_Allocation_Table

Algo muy interesante en el sistema de archivos FAT32 es un atributo que estoy seguro que la mayoría de nosotros desconocíamos: EL ATRIBUTO DE DISPOSITIVO, que es de uso interno solamente para el sistema operativo y que no debería estar presente en un disco de manera normal, jejeje.

Este atributo designa a un dispositivo y no permite que el dispositivo en sí pueda ser modificado a nivel de dispositivo. Pero la pregunta es: ¿Se puede asignar este atributo a un archivo? ¿Cómo?

Como ya vimos, en línea de comandos o usando la shell del explorador no podremos asignar este atributo a los archivos. En este caso si podríamos asignar este atributo al archivo AUTORUN.INF, podríamos indicarle al sistema operativo que este archivo sería un dispositivo y por lo tanto no podría ser modificado ni borrado por ningún proceso usando la vía normal o común de escritura de archivos.

Aquí con esta guía veremos cómo es posible que podamos crear un archivo autorun.inf con permisos de dispositivo que contendrá cualquier cosa de modo que no pueda ser sobreescrito por ningún otro archivo de software malicioso y por nosotros mismos.

Para esto, usaremos un Editor Hexadecimal, en mi caso usaré uno de los mejores: WinHEX.

Procedamos.

1. Formateemos nuestra memoria USB en formato FAT32.

2. Crear el archivo autorun.inf. En este caso lo hice usando la línea de comandos, a la antigua y no por eso menos poderosa, jejeje.

H: Enter # en tu caso debes poner la letra de tu unidad
copy con autorun.inf Enter
El texto que quieras y CTRL+Z y Enter

3. Abrimos nuestro editor hexadecimal.

Luego seleccionamos la opción “Tools”, “Open Disk”.

Seleccionamos nuestra unidad a Proteger.

Una vez abierto nuestra unidad de memoria USB, vemos el contenido tal y como lo ve el sistema operativo. Vemos las estructuras del boot sector (sector de arranque), FAT1 y FAT2 (tabla de asignación de archivos y copia), el root directory (directorio raíz donde se almacenan los nombres de los archivos, sus atributos, su tamaño y ubicación).

Nosotros vamos a trabajar directamente sobre el directorio raíz, pues ubicaremos la entrada correspondiente al archivo AUTORUN.INF que creamos previamente. Cabe recordar que en FAT32 cada entrada de archivo tiene designada los primeros 8 bytes para el nombre del archivo, los 3 bytes siguientes para la extensión, y el byte en la posición 11 indica el atributo:

Al ubicarnos en el directorio raíz con nuestro editor hexadecimal al ubicar el byte 11 (Offset B) – en mi caso – vemos que tiene el atributo 0×20, que indica que es un archivo de almacenamiento.

Entonces lo que ahora haremos en escribir el valor 0×40 en lugar de 0×20 y con esto le atribuiremos el atributo de dispositivo a nuestro archivo AUTORUN.INF.

Procedemos a guardar los cambios en la memoria USB, haciendo click en el ícono del Diskette.

Aceptamos…

Cerramos el programa WinHEX, y vamos a nuestra memoria USB y la exploramos.

Tratemos ahora de editar el archivo dándole doble click, y veamos que sucede:

Ahora intentemos eliminar el archivo:

Intentemos cambiarle de nombre también:

Y vemos que no podemos hacer ningún tipo de cambio a este archivo. Entonces la idea es que ningún programa malicioso pueda crear su archivo AUTORUN.INF maligno en nuestra querida memoria USB.

Fuente: http://www.psicofxp.com/forums/seguridad-informatica.47/1029901-proteger-nuestros-usb-infecciones-autorun-inf.html

Un hombre cambia de vida y profesión para demandar a los spammers

pesadillo — Thu, 06 Jan 2011 23:15:12 +0000

Un hombre estadounidense ha convertido su odio por los mensajes spam en una profesión bien remunerada.

Daniel Balsam era un publicista de California que comenzó a sentirse irritado por la gran cantidad de mensajes spam que inundaban su cuenta de correo. Indignado, Balsam creó el sitio danhatesspam.com, y comenzó a recolectar los mensajes de los spammers para algún día usarlos en su contra.

Pero Balsam dio un paso más: decidió dejar su trabajo para entrar a la escuela de leyes con el solo propósito de demandar a las empresas e individuos que se dedican a propagar spam en Internet. “Lo que comenzó como una repulsión se convirtió en un hobby, que a la vez se volvió una carrera”, dijo Balsam, “es lo que me impulsó a entrar a la escuela de leyes”.

Balsam comenzó a incoar decenas de demandas contra los spammers incluso antes de graduarse de abogado en 2008. Desde entonces, ha procesado a una gran cantidad de personas y empresas a las que acusa de violar las leyes contra el spam y ganado 42 casos.

Esto también se convirtió en su fuente de ingresos. En total ha ganado más de 1 millón de dólares en acuerdos con los demandados, que prefieren pagar una indemnización a Balsam para evitar gastar tiempo y dinero en un juicio.

Esta es la parte que muchos de sus colegas critican. “No hay nada malo en unirse a la cruzada contra el spam”, dijo Bennet Kelley, abogado defensor que se enfrentó a Balsam muchas veces, “pero Dan aprovecha los procesos legales al usar las cortes que se ocupan de asuntos menores. Muchos prefieren llegar a un trato para evitar problemas legales”.

La jueza que estuvo a cargo de uno de sus casos también recalcó que Balsam tenía más de 100 cuentas de correo electrónico personales. A pesar de eso ordenó a los demandados, de la empresa Trancos Inc., que le paguen 7.000 dólares por violar las leyes contra el spam.

Pero a pesar de las críticas, Balsam sostiene que está realizando un servicio. “Siento que estoy haciendo un bien al limpiar Internet”, afirmó. “Si mucha gente comenzara a demandar a los spammers y a quienes se benefician con el spam, podríamos lograr un cambio”.

Fuente: Kaspersky Lab

Piratas desconocidos tienden una trampa a los “Anonymous” de España

pesadillo — Tue, 04 Jan 2011 23:15:05 +0000

Se ha descubierto que un ataque DDoS del grupo “Anonymous” para protestar contra una ley que defiende la propiedad intelectual en Internet en realidad fue diseñado para recopilar los datos personales de los mismos atacantes.

Hace algunos días los miembros españoles del grupo Anonymous anunciaron que lanzarían un ataque DDoS a una serie de partidos políticos como protesta por la ley Sinde. Como suelen hacer, los organizadores del ataque pusieron a disposición de los usuarios la herramienta LOIC, que permite que cualquier internauta se una de forma voluntaria a una red zombi para participar en la protesta saturando los servidores enemigos.

Pero poco antes de que llegara la hora establecida del ataque, LOIC cambió el blanco del ataque por sitios “amigos”, como WikiLeaks.info y Ciberactivistas.net.

Aunque al principio algunos creían que este cambio fue el resultado de otro ataque, la herramienta mostró un mensaje que explicaba que el DDoS había sido una farsa para atraer a los cibercriminales a un “honeypot” diseñado para robar los datos personales de los atacantes.

Pero esto no fue suficiente para detener la amenaza: los internautas no tardaron en alertar a los otros Anonymous en foros y blogs para que pudieran unirse al ataque utilizando otras herramientas.

Fuente: Kaspersky Lab

Eliminar System Tool 2011

pesadillo — Sun, 26 Dec 2010 23:33:16 +0000

Cómo remover System Tool 2011 de forma manual

Antes de comenzar, debe hacer un respaldo (backup) de su sistema y de su registro, de modo tal que resulte sencillo restaurar la situación anterior de su computadora en caso de que algo salga mal.

Para eliminar System Tool 2011 de forma manual, lo que debe hacer es borrar los archivos de System Tool 2011.

Eliminar los procesos de System Tool 2011

[random].exe

Detectar y eliminar los archivos de System Tool 2011

c:Documents and SettingsAll UsersApplication Data\[random].exe

Eliminar valores de registro de System Tool 2011

KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce “[random]”

Borrar los directorios de System Tool 2011

c:Documents and SettingsAll UsersApplication Data[random]
c:Documents and SettingsAll UsersApplication Data[random][random]

Nota: En todos los archivos deSystem Tool 2011 que menciono más arriba, “%System%” es una variable que refiere a la carpeta del sistema de su PC.Quizás usted le cambió el nombre, pero por defecto la carpeta de su sistema es “C:WindowsSystem32″ on Windows XP, “C:WinntSystem32″ en Windows NT/2000,” o “C:WindowsSystem” en Windows 95/98/Me.

“%Program_Files%”, “%ProgramFiles%”, o “%Profile%” es una variable que refiere a una carpeta en su PC donde las aplicaciones que no forman parte del sistema operativo de su PC son instaladas por defecto. Puede haberle cambiado el nombre a esta carpeta o puede haberla movido, pero si no la tocó, búsquela como “C:Program Files”. Si tiene problemas para encontrar esta carpeta, la puede ubicar buscando el valor de registro “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionProgramFilesDir”.

Además, “%UserProfile%” es una variable que refiere a su actual carpeta de perfil de usuario. Si está utilizando Windows NT/2000/XP, por defecto es “C:Documents and Settings[CURRENT USER]” (por ejemplo, “C:Documents and SettingsJoeSmith”). Si usted tiene preguntas sobre la eliminación manual de System Tool 2011, escríbanos un comentario.

¿Cómo eliminar los archivos de System Tool 2011?

¿Necesita ayuda para eliminar los archivos de System Tool 2011? Existe un cierto riesgo y por esa razón usted sólo deberá hacerlo si se siente cómodo editando su sistema; descubrirá que es fácil borrar archivos en Windows.

Cómo borrar archivos de System Tool 2011 en Windows XP y Vista:

Haga clic en el menú Inicio (Start) de Windows, y haga clic en “Buscar (Search)“
Aparecerá un menú de diálogo que le preguntará, “¿Qué desea buscar?” Haga clic en “Todas los archivos y carpetas.”
Escriba el nombre del archivo en la caja de búsqueda y seleccione “Discos duros locales.”
Haga clic en “Buscar.” Una vez que el archivo es encontrado, elimínelo.

Cómo detener procesos de System Tool 2011:

Haga clic en el menú Inicio, seleccione Ejecutar.
Escriba taskmgr.exe en la caja de comando de Ejecutar , y haga clic en “Aceptar.” También puede ejecutar el Administrador de Tareas de Windows presionado las teclas ALT + CTRL + DELETE o CTRL + May + ESC.
Haga clic en la pestaòa (tab) Procesos y busque los procesos de System Tool 2011.
Una vez que encuentre los procesos deSystem Tool 2011, haga clic con el botón derecho sobre ellos y seleccione “Terminar Proceso (End Process)” para matar a System Tool 2011.

Cómo eliminar valores de registro de System Tool 2011 :

Debido a que su registro es una pieza muy importante del sistema Windows, siempre debe hacer un respaldo de su registro antes de editarlo. Editar el registro puede intimidar a quienes no son expertos en computación; cuando usted cambia o borra un valor de registro crítico, existe la posibilidad de que necesite reinstalar todo su sistema operativo.Asegúrese de hacer un respaldo de su registro antes de hacer cualquier cambio.

Seleccione el menú “Inicio ,” de Windows y haga clic en “Ejecutar.”Le aparecerá un campo “Abrir“. Escriba “regedit” y haga clic en “Aceptar” para abrir el Editor del Registro.
El Editor de Registro abrirá una ventana con dos partes. El lado izquierdo del Editor del Registro le permitirá seleccionar varios valores de registro, y el lado derecho muestra los valores de registro del valor de registro que usted seleccionó.
Para encontrar un valor de registro de System Tool 2011 , como cualquier otro valor de registro, seleccione “Editar,” y luego “Buscar,” y en la barra de búsqueda de escriba los valores de registro de System Tool 2011.
Una vez que el valor de registro de System Tool 2011 aparece, usted puede borrar el valor de registro de System Tool 2011, seleccionando “Modificar,” y luego haciendo clic en “Eliminar.”

Cómo eliminar archivos System Tool 2011:

Primero localice los archivos DLL de System Tool 2011 que desea eliminar. Abra el menú Inicio de Windows, luego haga clic en “Ejecutar.” escriba “cmd” y luego haga clic en “Aceptar.”
Para cambiar su directorio actual, escriba “cd” en la línea de comando, presione la barra espaciadora una vez y luego escriba el directorio completo en el que está ubicado el archivo DLL de “System Tool 2011. Si usted no está seguro si el archivo DLL de System Tool 2011 está ubicado en un directorio en particular, escriba “dir” en la línea de comando para mostrar el contenido del directorio. Para retroceder un directorio hacia atrás, escriba “cd ..” en la línea de comando y presione “Intro (Enter).”
3.Una vez localizado el archivo de System Tool 2011 que desea eliminar, escriba “regsvr32 /u SampleDLLName.dll” (por ejemplo., “regsvr32 /u jl27script.dll”) y presione la tecla “Intro (Enter)“.

Eso es todo. Si quiere restaurar cualquier archivo DLL de System Tool 2011 que eliminó, escriba “regsvr32 DLLJustDeleted.dll” (por ejemplo, “regsvr32 jl27script.dll”) en la línea de comando y presione la tecla “Intro”.

¿ System Tool 2011 cambió su página de inicio?

Haga clic en el menú Inicio > Panel de Control > Opciones de Internet.
En Página de Inicio, seleccione General > Predeterminada.
Escriba la Dirección que usted prefiere como su página de inicio (por ejemplo, “http://www.homepage.com”).
Seleccione Aplicar > Aceptar.
Deberá abrir una nueva página web para asegurarse que la nueva página de inicio por defecto está activa..

Comprendiendo System Tool 2011

Si usted está infectado con System Tool 2011, debe saber contra lo que está combatiendo. Le pasaré a explicar algunas definiciones vinculadas a System Tool 2011.

System Tool 2011 Quizás es Anti-Spyware Engañoso de Aplicación Común

El anti-spyware engañoso aplicación común -o sospechoso- refiere al software anti-spyware de dudoso valor. El anti-spyware engañoso aplicación común no protege su computadora contra spyware, puede desplegar alertas falsas o crear falsos positivos de infecciûn en su PC, o puede utilizar tácticas para atemorizarlo e intentar que compre la aplicaciûn. El software anti-spyware engañoso aplicación común puede ser instalado por un troyano, venir junto con otro software, o instalarse a sî mismo a travès de agujeros de seguridad de los navegadores web. Aunque es poco comun, algunos anti-spyware engañoso aplicación común s son creados y distribuidos por conocidas empresas de spyware y adware, y puede ser instalado por el propio spyware o adware.

Con frecuencia, cuando está infectado con un anti-spyware engañoso aplicación común como System Tool 2011, verá una alerta falsa de seguridad como esta:

Tácticas de los Anti-Spyware Engañoso Aplicación Cómunes

En general, los anti-spyware engañoso aplicación común s tienen una o más de las caracterîsticas que se listan más abajo, engañoso razón por la cual es considerado software anti-spyware de valor dudoso:

Falsos positivos/alertas ficticias: Puede producir un gran número de falsos positivos o alertas no reales, alertándole que su computadora está infectada con parásitos u otras amenazas que en realidad no existen.
Simulan Ser Otro: Puede copiar la apariencia de otros programas anti-spyware legîtimos o falsos. Con frecuencia, las aplicaciones anti-spyware engaòosas aparecen como clones cercanos de otros software anti-spyware engañoso aplicación común s.
Marketing Insistente: Puede usar tácticas para generar temor u otras tácticas de anuncios y marketing agresivo con el objetivo de engaòarlo y hacerle comprar la aplicación engañosa infección. Puede producir falsos positivos o alertas ficticias sobre infecciûn en su computadora.
Informe de detección/escaneo de mala calidad: Cuando escanea su PC puede crear informes de mala calidad. Por ejemplo puede indicar que su computadora está infectada con 11 parásitos, pero no especificar detección qué parásitos son o de què tipo son. Tambièn puede reportar que su PC está infectado con SafeAndClean, pero no decir cuáles son los archivos, DLLs, etc, que fueron encontrados en su computadora.
Detección/Escaneo dèbil: El anti-spyware engañoso aplicación común no sólo informa pobremente sobre las infecciones, sino que tambièn escanea pobremente su PC. Puede saltearse carpetas y archivos importantes que deben ser escaneadas para detectar spyware en su computadora.

System Tool 2011 puede utilizar tácticas para engaòarlo o asustarlo para que compre System Tool 2011.

Fuente: http://www.fasterpccleanclean.com/es/eliminar-system-tool-2011

Los virus mas famosos de la historia

pesadillo — Tue, 06 Jul 2010 23:59:18 +0000

Los sistemas operativos más infectados son sin duda los de Microsoft por su gran numero de ususarios, desde el Windows 95 hasta el Vista, pero tampoco se salva Linux, aunque en menor medida, ya que el volumen de usuarios es mucho menor.

CREEPER (1971): el primer gusano corrió en un equipo DEC 10 bajo el sistema operativo TOPS TEN.

ELK CLONER (1985): el primer virus para computadoras personales, concretamente para los sistemas Apple II. Creado por un estudiante que quería que un poema suyo fuera leído por todos, el virus infectaba el sistema operativo, se copiaba en los discos flexibles y desplegaba uno o dos versos del poema. Si bien no generó mucho daño, fue uno de los que abrió el camino para lo que vendría después.

El INTERNET WORM (1985): escrito por una persona de la Universidad Cornell, logró paralizar la incipiente Internet.

PAKISTANI BRAIN (1988): el primer virus que infectó un PC de IBM. Debió su nombre a que fue escrito por dos hermanos de Pakistán. Recibió amplia cobertura en los medios.
strong>

JERUSALEM FAMILY (1990): se contabilizaron casi cincuenta variables de este virus, posiblemente surgido en la Universidad de Jerusalén.

STONED (1989): uno de los virus que más propagación tuvo. Infectaba el sector de arranque/.mbr que contaba el número de reinicios desde la infección original y mostraba la frase “your computer is now stoned”.

DARK AVENGER MUTATION ENGINE (1990): fue escrito en 1988, pero apareció a los principios de los noventa en virus como POGUE y COFFEESHOP. Uno de los primeros en mutar y complicar su erradicación.

MICHEANGELO (1992): una variante de STONED, con una carga destructiva. El 6 de marzo de ese año, borró los primeros 100 sectores de un disco rígido, dejándolo inútil. Provocó uno de los primeros pánicos mediáticos alrededor de los virus de equipos informáticos.

BarrotesEs el primer virus español con relevancia internacional, apareció en 1993 y suponía que una vez infectado el PC, el virus permanecía latente hasta el 5 de enero, fecha en la que se activaba y aparecían unas barras en el monitor simulando una cárcel.

WORLD CONCEPT (1995): el primer macro virus para Microsoft Word. Word Concept escribía la frase, “That’s enough to prove my point”. No muy complicado en su elaboración, demostró que casi cualquiera podía escribir un virus.

Cascade o Falling Letters
Nació en Alemania en 1997 y actuaba de forma que cuando un PC se infectaba, hacía caer las letras de la pantalla como si se tratara de una cascada.

W95/CIH (1998)
Es conocido como CIH 1003 y como Chernobyl, su fecha de activación y esta denominación hacen referencia al accidente nuclear en esta central.
Origen: Taiwan.
Daños: Más de 80 millones de dólares, pérdida incalculable de iinformación.

Melissa (1999)
Atacó a miles de usuarios y empresas el 26 de Marzo de 1999, después de haber sido esparcido como un documento de MS-Word infectado en un grupo de noticias de Usenet, que conformaban una lista de interés sobre páginas web porno.
Origen: EEUU.
Daños: Entre 300 y 600 millones de dólares en pérdidas sólo en su país de origen.

I Love you (2000)
Fue detectado el Jueves 4 de mayo de 2000 cuando infecto a miles de ordenadores en todo el mundo. Este código ha sido considerado como uno de los más rápidos de todos los tiempos en propagarse e infectar ordenadores.
Origen: Hong Kong.
Daños: De 10 a 15 billones de dólares.

Code Red (2001)
Un gusano que aprovecha una vulnerabilidad en un componente del Index Server de Microsoft, ha llegado a comprometer la seguridad de cerca de 30000 servidores Windows en todo el mundo, según reportes de consultoras de seguridad informática.
Origen: Aún no determinado.
Daños: De 10 a 15 billones de dólares.

KlezEs un gusano de origen alemán escrito en visual C++ que nació en 2001, que sólo infectaba los días 13 de los meses impares y se propagaba a traves del correo electronico y la red mensajes con formato .HTML.

NimdaSu nombre viene de invertir la palabra admin. Apareció en China el 18 de septiembre de 2001 y era capaz de crear privilegios de administrador en el ordenador afectado.

SQL Slammer (2002)
Infecta principalmente a equipos con Microsoft SQL Server, actualmente es uno de los programas o sistemas más utilizados para realizar tareas
relacionadas con registros y bases de datos.
Origen: Aún no determinado.
Daños: No muy fuerte dado que aparecio un fin de semana.

Blaster (2003)
Atacaba básicamente el sitio de Microsoft. Este gusano se propagó rápidamente a través de computadoras con Windows 2000 y XP.
Origen: EEUU.
Daños: Más de 10 billones de dólares.

Sobig (2003)
Es un gusano que se extiende a través de email y de unidades compartidas de red.
Origen: Aún no determinado.
Daños: De 5 a 10 billones de dólares.

Bagle (2004)
Es un virus que se propaga de forma masiva a través del correo electrónico y contiene un componente de acceso remoto.
Origen: Aún no determinado.
Daños: Decenas de billones de dólares y aún sumando.

MyDoom (2004)
Gusano que se propaga a través del correo electrónico en un mensaje con características variables y a través del programa de ficheros compartidos (P2P) KaZaA.
Origen: Aún no determinado.
Daños: LLego a reducir el desempeño de Internet en 10% y el tiempo de carga de de la WWW en 50% por varias horas.

Sasser (2004)
Gusano que para propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Sólo afecta a equipos Windows 2000/XP y Windows Server 2003 sin actualizar.
Origen: Alemania
Daños: Decenas de millones de dólares.

Netsky
Este gusano nació en Alemania en el año 2004, se propaga a través del correo electrónico y se aprovechaba de vulnerabilidades del navegador Internet Explorer. Su creador también fue el padre de otro virus famoso, Sasser.

BOTNETS (2004): estos guerreros zombies de Internet ofrecen a los criminales electrónicos una colección infinita de equipos infectados que pueden reconfigurarse en redes para enviar spam, infectar a nuevas personas, robar datos, etc.

ZOTOB (2005): este gusano sólo afectó a sistemas Windows 2000 que no estaban actualizados.

ROOTKITS (2005): se han convertido en una de las herramientas más populares en el mundo del código malicioso. Se usa para hacer invisible a otros códigos maliciosos alterando el sistema operativo.

STORM WORM (2007): el virus pasó por miles de versiones, creando eventualmente la botnet más grande del mundo. En un momento se creyó que más de 15 millones de equipos fueron infectados al mismo tiempo, y que estaban bajo el control de los criminales.

ITALIAN JOB (2007): en lugar de una sola pieza de código malicioso, Italian Job fue un ataque coordinado que utilizaba un kit de herramientas pre-empaquetado conocido como MPACK. Corrompió a más de 10.000 sitios web, haciéndolos que implantaran el moderno Data Stealing Malware.

Conficker
El último y el más reciente, aparecido en noviembre de 2008 y considerado como uno de los mas extendidos en todo el mundo actualmente, ataca ordenadores con sistemas operativos Windows y es capaz de propagarse a través de dispositivos USB. Existe una recompensa de 250.000$ para aquel que sea capaz de identificar a sus autores. A modo de curiosidad, no afecta a los ordenadores con teclado en ucraniano.

Analizar e ordenador sin antivirus.

pesadillo — Wed, 24 Jun 2009 23:55:51 +0000

inicio/ejecutar
mrt

Presentación del antimalware de Windows:

La herramienta de eliminación de software malintencionado de Microsoft busca infecciones por software malintencionado específico y predominante, como Blaster, Sasser y Mydoom, y ayuda a eliminarlas. Cuando el proceso de detección y eliminación ha concluido, la herramienta muestra un informe en el que se describe el resultado e incluye, si lo hubiera, el software malintencionado que se ha detectado y eliminado.

La Herramienta de eliminación de software malintencionado de Windows funciona en equipos que funcionan con:
-Windows 2000
-Windows XP
-Windows 2003

Si utilizas XP con el SP2 instalado y las actualizaciones activadas, entonces el programa ya está presente en tu sistema. Si no, puedes descargar el programa desde esta página:

http://www.microsoft.com/…

La herramienta de la que vamos a hablar aquí es MRT.exe. Esta se encuentra en: C:\WINDOWS\system32\MRT.exe

Para ejecutarla, haz clic en Inicio, luego Ejecutar y escribe el comando siguiente:
%systemroot%/system32/MRT.exe (o simplemente mrt)

El programa se ejecuta directamente. La primera ventana que aparece da la posibilidad de consultar la lista de programas malintencionados que el programa ha podido detectar y que puede eliminar, así como información sobre esta herramienta. Haz clic en Siguiente para continuar.

En la ventana que aparece, se ejecuta el scan y se inicia la búsqueda de programas malintencionados.

En el caso que un malware sea encontrado será eliminado.

También puedes personalizar el modo de funcionamiento del programa

Haz clic en Inicio, luego en Ejecutar.
Luego escribe mrt, seguido de uno de estos 4 “Modificadores de la línea de comandos”:

/? ==> Muestra una ventana de dialogo que lista los modificadores de línea de comandos. [mrt/?]

/Q o /quiet ==> Especifica el modo silencioso o suprime los indicadores. [mrt/Q]

/N ==> Ejecuta sólo en modo de detección. En este modo, los programas malintencionados serán señalados al usuario pero no serán eliminados. [mrt/N]

/F ==> Para hacer un análisis profundo del PC. [mrt/F]

/F:Y ==> Para hacer un análisis profundo del PC y limpiar automáticamente posibles infecciones. [mrt/F:Y]

Fuente: http://es.kioskea.net/faq/sujet-600-la-herramienta-de-eliminacion-de-software-malintencionado