viernes, 14 de febrero de 2014

Recycler

Recycler es un peligroso y molesto malware que debe su nombre a que una de las primeras señales de alarma que aparecen en el equipo, es un mensaje del sistema que indica: "Recycler.exe ha detectado un problema y debe cerrarse". Debe su nombre a que una de las primeras señales de alarma que aparecen en el equipo, es un mensaje del sistema que indica: "Recycler.exe ha detectado un problema y debe cerrarse". Este virus se aprovecha de la función de ejecución automática de Windows para propagarse de un disco a otro. El modo de infección típico son los dispositivos USB como discos duros extraíbles, las memorias flash, tarjetas de cámaras y teléfonos celulares, etc. Cuando el usuario inserta un dispositivo USB en una computadora infestada, el virus escribe en su interior un archivo autorun.inf, acompañado del ejecutable Recycler.exe, después los oculta para que no puedan ser detectados. Al insertar el dispositivo infestado en otro equipo, se activa la reproducción automática ejecutando el autorun.inf que hace copiar el virus al interior de dicho equipo.

¿Que hace el virus RECYCLER en Windows?
✓ Abre una puerta trasera en el equipo, que permite el acceso de forma inadvertida a otros malware para el robo de datos personales✓ Al navegar en internet, el usuario será redirigido a sitios con software malicioso.✓ Se mantiene a la vigilancia de otros dispositivos USB, que sean insertados en el equipo para infestarlos. 
Caracteristicas del virus Recycler, como conocerlo y detectarlo
Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con el nombre S-1-5-21-1482476501-1644491937-682003330-1013 y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea: [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe y isee.exeSu forma de autoejecutarse es a cada inicio de Windows. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para poder iniciarse con el sistema es crear una entrada en el Registro en la siguiente clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512} StubPath = "C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe"
Tambien crea un archivo autorun en todas la unidades para asegurar su propagación.
Daños que ocasiona el virus Recycler al sistema
Al igual que muchos otros virus, en primer lugar va a ocupar algunos recursos del sistema cuando se activa y por lo tanto el equipo funciona muy lento y es fácil que se congele.Modifica archivos del sistema para protegerse e impedir que el usuario se de cuenta de su existencia.Al abrir puertos debilita la seguridad del sistema convirtiéndonos en blancos de diversos virus y programas malignos que pululan en la red.El virus Recycler es utilizado por otros programas maliciosos, lo que generará un montón de alertas de seguridad falsas, publicidad u otras molestas ventanas pop-up.

Nueva versión del virus RECYCLER, como eliminarlo


 Recientemente ha surgido y se expande rápidamente una nueva versión del virus RECYCLER, algo diferente aunque se mantiene su principal vía de propagación que son los populares dispositivos USB.
Es fácil de detectarlo en las memorias flash u otros dispositivo en los que se encuentra, si se tiene activada la opción de ver las carpetas ocultas.
Crea en ellos una carpeta nombrada: RECYCLER\ y en su interior encontrarás el ejecutable:b845ef76.exe y el clásico archivo al igual que las versiones anteriores: Desktop.ini.
Archivos del virus Recycler en una memoria USB

Modificaciones que hace en el sistema el virus RECYCLER


 ✓ RECYCLER crea el archivo "Lsfqfb.exe" en la carpeta: C:\Users\NombreDeUsuario\AppData\Roaming
✓ Crea una nueva entrada en la siguiente clave del Registro para iniciarse con el sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Proceso para la eliminacion manual del virus.

Proceso Detallado con Explicacion
  1. Debemos abrir la Consola de windows o MS-DOS como es conocido, para eso presionaremos la tecla de Windows + R y nos aparecere la ventana de ejecutar, dentro colocaremos CMD
  2. Debemos detener el Explorador de Windows, para ello escribiremos en la ventana con fondo negro taskkill /f /im explorer.exe de esta forma cerraremos el explorer
  3. Ahora debemos regresar a la raiz del disco duro para ello colocaremos CD\ 
  4. Ya en la raiz del sistema ingresaremos a la carpeta de RECYCLER de la siguiente forma. CD RECYCLER de esta forma estaremos ya dentro de la carpeta de recycler
  5. dentro de la carpeta de recycler, debemos cambiar los atributos a las carpetas que dentro se encuentren, de la siguiente forma. attrib -h -r -s (TAB)
    1. TAB es para acompletar el nombre en automatico y que no tengamos que teclear el nombre complicado que debe de tener la carpeta.
    2. Los nombres que encontraremos son parecidos a los siguientes 
      1. S-1-5-21-1417001333-1364589140-2147085195-1004
      2. S-1-5-21-1085031214-1935655697-1801674531-1001
    3. El proceso de cambio de atributos se debe de realizar con todas las carpetas existentes.
  6. una vez cambiados los atributos debemos cambiar el nombre de la carpeta a la que le cambiamos previamente atributos, de la siguiente forma. ren (TAB) nuevonombre
    1. TAB es para acompletar en automatico el nombre de la carpeta y que no haya problemas de escritura
    2. nuevonombre es el nombre nuevo que le colocaremos a nuestra carpeta
  7. ahora ya con atributos cambiados y nuevo nombre ingresaremos a ella de la siguiente forma, CD nuevonombre
  8. Si todo ha salido bien asta el momento nos deberiamos de encontrar en la carpeta que contiene a los virus en la cual ahora debemos de igual forma cambiarle los atributos a cada uno de ellos, por lo cual haremos lo siguiente. attrib -h -r -s (TAB)
    1. TAB es para acompletar el nombre del archivo
    2. El proceso de cambio de atributo se debe de realizar por cada uno de los archivos que se encuentren
  9. Ahora que ya tenemos cambiados nuestros atributos de los virus, los renombraremos de la siguiente forma. ren (TAB) nuevonombrevirus
    1. Se deben de renombrar todos los archivos que se encuentren
    2. TAB es para acompletar el nombre de una manera rapida y sin errores
  10. Una vez cambiados de atributos y renombrados empezaremos a eliminarlos de forma manual uno por uno de la siguiente forma. del/s nuevonombrevirus
    1. Se deben de eliminar todos los archivos renombrados
    2. No se deben de eliminar usando el explorador de windows
  11. Despues de eliminar todos los archivos de la carpeta regresaremos una carpeta atras de la siguiente forma CD..
  12. Ahora eliminaremos la carpeta que contenia los virus de la siguiente forma. rd/s nuevonombre
    1. Si existiera otra carpeta se deben de realizar los pasos 6 al 12 nuevamente asta no dejar ninguna carpeta dentro de RECYCLER
  13. Ahora regresamos a la raiz del disco nuevamente y para ello ocuparemos CD..
  14. Ya en la raiz del disco procedemos a eliminar la carpeta que contiene al virus de la siguiente forma. rd/s RECYCLER 
    1. SI EXISTE MAS DE UN DISCO DURO O PARTICION SE DEBE DE REALIZAR EL PROCESO NUEVAMENTE EN CADA UNA DE ELLAS PARA ERRADICARLO POR COMPLETO
Proceso rapido para usuarios avanzados
  1. Ejecutar CMD
  2. taskkill /f / im explorer.exe
  3. cd \
  4. cd recycler
  5. attrib -h -r -s (nombre carpeta - TAB)
  6. ren (nombre carpeta - TAB) nuevo_nombre 
    1. Por cada una de las carpetas
  7. cd nuevo_nombre
  8. attrib -h -r -s (nombre archivo - TAB) 
  9. ren (nombre archivo - TAB) nuevo_nombre
  10. del/s nuevo_nombre
    1. Por cada uno de los archivos
  11. cd..
  12. rd/s nuevo_nombre
  13. cd..
  14. rd/s recycler
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)