Página principal Sobre mi Premios recibidos Links de Interés Contacto Blogs de referencia

Translate

miércoles, 4 de julio de 2018

Textual description of firstImageUrl

Windows Client: Eliminar gusano Win32/Forbix.A - accesos directos - Manuel.doc

En el laboratorio de hoy, vamos a ver como eliminar de nuestro sistema el gusano Win32/Forbix.A que sustituirá todos nuestros archivos de datos por accesos directos.

El gusano Win32/Forbix.A hará desaparecer todos los archivos de datos de nuestro sistema y los sustituirá por accesos directos que tendrán el mismo nombre que tenían nuestros archivos de datos desaparecidos.

Aplicará estos cambios en nuestro disco duro local, en todos los dispositivos de almacenamiento USB conectados a nuestro equipo y también a todas las unidades de red que tengamos configuradas.

Cada uno de los accesos directos que el gusano Win32/Forbix.A creará, si fueran ejecutados por otros usuarios de nuestra red desde alguna de las unidades compartidas infectadas. Ejecutarán nuevamente el proceso descrito anteriormente en el equipo local del segundo usuario. Sustituyendo todos los archivos de datos del segundo usuario  que se encuentren en disco el duro local de su equipo, en los dispositivos de almacenamiento USB conectados al equipo y también a las unidades de red que tenga configuradas, por accesos directos.

El gusano Win32/Forbix.A , por lo general, llegará en forma de  acceso directo en el interior de un dispositivo de almacenamiento USB , y, cuando un usuario ejecute el acceso directo infectado pensando que es uno de sus documentos, empezará el proceso de sustitución. Si al acceder a nuestros dispositivos de disco USB, encontramos un acceso directo tenemos que sospechar de forma preventiva.

Lo primero en lo que tenemos que fijarnos si editamos el acceso directo sospechoso, es en el cuadro de texto llamado destino, este estará preparado para ejecutar un VBScript.

La linea que encontraremos en el cuadro de texto llamado destino será muy parecida a la siguiente:

C:\Windows\system32\cmd.exe /c start wscript /e:VBScript.Encode Manuel.doc & start explorer Datos01

La mejor manera de evitar el gusano Win32/Forbix.A, es mantener informados a nuestros usuarios de su existencia. Pero, si por desgracia ya se ha ejecutado el gusano en nuestra red, tendremos que proceder como describiremos a continuación para recuperar nuestros datos.

C:\Windows\system32\cmd.exe /c start wscript /e:VBScript.Encode Manuel.doc & start explorer Datos01

Si ya hemos ejecutado el acceso directo del gusano Win32/Forbix.A, en primer lugar, tendremos que cerrar el proceso que realiza la ocultación de nuestros datos para la posterior sustitución de nuestros archivos, por accesos directos.

Abriremos una nueva ventana del Administrador de Tareas de Windows o taskmgr.exe, y, en la sección llamada Procesos del menú superior de la ventana, finalizaremos el proceso llamado wscript.exe.

Podemos abrir una nueva ventana del Administrador de Tareas rápidamente presionando las teclas: CTRL + ALT + DEL (SUPR)

Una vez hayamos cerrado el proceso wscript.exe, tenemos que evitar que arranque de forma automática durante el inicio de nuestro sistema operativo Microsoft Windows, el proceso que inicia el gusano Win32/Forbix.A. De no ser así, cuando reiniciemos el equipo infectado,  Win32/Forbix.A iniciará automaticamente y volverá a sustituir todos nuestros archivos por accesos directos. 

Abriremos una nueva ventana del Editor de Registro de Microsoft Windows o regedit.exe y, seguidamente, desplegaremos siguientes dos ramas para eliminar todas las entradas vinculadas al gusano Win32/Forbix.A:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

En cada una de ellas buscaremos la clave Onbrerfwab, en su interior encontraremos la linea siguiente, wscript.exe //B "C:\Users\Usuario\AppData\Local\Roaming\Onbrerfwab.vbs"

Las eliminaremos permanentemente.


En todas las carpetas que contenían nuestros datos, encontraremos algo parecido a lo que podéis ver en la imagen siguiente.

Todos  todos nuestros archivos habrán sido sustituidos por accesos directos y también encontraremos un archivo llamado manuel.doc

Hemos de evitar la ejecución de cualquiera de los accesos directos, el proceso de sustitución iniciaría nuevamente.


Abriremos una nueva ventana de la consola de comandos de Microsoft Windows y accederemos a la carpeta de datos afectada por el gusano Win32/Forbix.A

Usaremos el comando Attrib para listar el contenido de la carpeta, si no estáis familiarizados con el uso del comando Attrib, encontrareis en el enlace siguiente un tutorial paso a paso de su funcionamiento.
Los atributos más comunes del comando Attrib son los siguientes:
  • R o Atributo de solo lectura: nos permitirá definir que archivo solo se pueda ver pero no se pueda escribir ni modificar.
  • S   o Atributo de archivo del sistema.
  • A o Atributo de Archivado : Permite que el programa Microsoft Backup u otros programas de copia de seguridad saber qué archivos tienen que respaldar.
  • H o Atributo de  archivo oculto : hace que los archivos sean invisibles para los usuarios.
También podemos usar los modificadores:
  • /S - Sirve para procesar archivos en todos los directorios de la ruta especificada.
  • /D - Sirve para procesar también las carpetas.
El comando Attrib listará todo el contenido del directorio, incluidos los archivos ocultos. Comprobaremos que nuestros datos no han desaparecido, el gusano Win32/Forbix.A solo les habrá aplicado los atributos de Solo Lectura y Archivo del sistema, a su vez les habrá quitado el atributo de Archivado.

Para recuperar nuestros datos, tendremos que eliminar los atributos -S y -H para agregar nuevamente el atributo +A a todos nuestros archivos de datos.

Usaremos la construcción de comando Attrib que mostramos a continuación:

Attrib /s /d c:\datos\*.* -S -H +A


Finalmente eliminaremos todos los accesos directos que se encuentren en el interior de nuestras carpetas de datos, eliminaremos también los archivos llamados Manuel.doc y sysinfYhX.

Hemos de recordar que no debemos ejecutar ninguno de los accesos directos, el proceso de sustitución iniciaría nuevamente y todo el trabajo realizado hasta el momento no serviría para nada.


5 comentarios:

  1. Yo uso una utileria http://ericksystem.weebly.com/usb-rescate.html que me recupera todos los archivos ocultos y quita los accesos directos (otros virus que funcionan similares), lo malo es que no mata el proceso wscript.exe

    ResponderEliminar
    Respuestas
    1. YO USO EL USB File Resc si mata el proceso... aunque esta informción me fue de ayuda para identificar el equipo infectado, cuando se tiene una intranet con unidades conectadas a un servidor

      Eliminar
    2. No lo conocía, gracias por recomendarlo.

      Eliminar
  2. Hola! Estuve intentar buscar el gusano desde las ubicaciones de editor de registro y no lo puedo encontrar... debería buscarlo en las demas carpetas? Gracias!

    ResponderEliminar
    Respuestas
    1. Revisa con algún antivirus para ver si el si lo localiza y lo puede eliminar, saludos.

      Eliminar