Home » , » Nueva variante del virus VBScript, el compilado JScript invisible

Nueva variante del virus VBScript, el compilado JScript invisible

Publicado por GEA Project el lunes, 16 de junio de 2014 | 13:32

Recientemente en nuestro laboratorio descubrimos una amenaza del ya casi extinto troyano compilado en VBScript, al parecer realiza las mismas funciones, ocultar información en unidades extraibles.

Pero lo que hace único y diferente de su predecesor es su evolucionada defensa antiborrado, lo que quiero decir es que, en vez de una sola ubicación en la PC infectada realiza varias copias de sí mismo, incluyendo directorios como la de arranque C:\Windows

Por lo peligroso de la amenaza resulta una tarea laboriosa el tratar de eliminarlo con las herramientas comunes, y por si no fuera poco, para los antivirus mas populares resulta indetectable hasta el momento, menciono a AVG, AVAST!, ESET, NORTON, PANDA, Microsoft Security Essential, etc. están en la lista blanca de antivirus sin Defensas ante la inminente amenaza.


La infección...
El proceso de reproducción viral comienza como en todos los demás casos, al insertar un dispositivo infectado, y ejecutando un acceso directo que en teoría debería abrir nuestros archivos sin embargo lo que oculta este acceso es un enlace directo al virus, compilado en el lenguaje JScript, un lenguaje utilizado mayormente en la ejecución de paginas web, así terminamos irremediablemente convirtiendo el PC en un nuevo huesped, que tarde o temprano terminará por infectar todo lo que entre en contacto con sus puertos de entrada.


La solución...
Como mencionamos anteriormente, si tienes uno de los antivirus de la lista blanca, la desinfección se tendrá que realizar manualmente, pero si dispones de BIT DEFENDER, F-SECURE, G-DATA, KASPERSKY o AVIRA, solo basta realizar una actualización, configurar el software con todas las defensas activadas y ejecutar un análisis completo del equipo para eliminar la amenaza.

Por otro lado, la eliminación manual consta de los siguientes pasos.

Primero hay que finalizar el proceso VBScript con el administrador de tareas, para que nos deje trabajar sin interrupciones, acto seguido activar la visibilidad de carpetas ocultas y archivos de sistema operativo en "opciones de carpeta y búsqueda"  e ir al directorio Users/~%~/AppData/Roaming para encontrar y eliminar una carpeta "invisible" con una secuencia numérica (4257, o 3578, etc) la cuál contiene dos o mas archivos JScript que son los virus con que se infectó el equipo. 

Después ir a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup y eliminar el archivo JScript que se encuentre ahí (por si el virus se auto iniciaba al arrancar windows). Acto seguido solo basta reiniciar la PC para ver los resultados.

Conectamos un pendrive limpio para probar y si no se ocultan las carpetas más, excelentes noticias!, la amenaza fue eliminada, ahora solo basta ser mas precavidos a la hora de abrir nuestros archivos con accesos directos.

Pero, si todo continúa igual o peor que antes, lamento informarles que el troyano se a replicado en diferentes y distintos directorios por lo que resultará mas laboriosa su eliminación, mas no imposible.

Primero tenemos que tener instalado el CCleaner, un limpiador en toda la extensión de la palabra, hacemos una limpieza profunda eliminando temporales, cookies, historiales y datos de navegación, etc. acto seguido nos vamos a la pestaña de Herramientas > Inicio y buscaremos la entrada que contenga el nombre "numérico" que es el JScript, ahí mismo podremos ver la ubicación de dicho archivo.

Una vez mas desactivamos con el administrador de tareas el proceso VBScript que puede aparecer con el nombre wscript.exe y nos dirigimos al directorio que nos marcó el CCleaner, nuevamente veremos otros archivos con similar extensión pero diferente nombre, lo que haremos ahora es ubicarnos en Equipo o mi PC y en el recuadro buscar anotamos .Script para que nos muestre todos los archivos con esa extensión, obviamente que nos mostraría decenas de archivos por la navegación a Internet,  pero eh aqui que CCleaner nos ha facilitado la tarea al eliminar el historial y datos de navegaciones, descartando archivos legibles y aumentando las posibilidades de encontrar los virus.



Así pues, eliminaremos todos los archivos (con extensión .jscript y Accesos directos unicamente) con el nombre "numerico" que vimos anteriormente, espero lo hayan anotado para no olvidarlo, o en caso de recordar la fecha de infección, eliminaremos todos los JScript a partir de esa fecha en adelante, Ccleaner elimina arhivos temporales inservibles y no infectados mientras que el buscador filtró los archivos JScript, y así, con nuestra lógica eliminaremos los archivos sospechosos, con cuidado de no eliminarlos todos porque algunos son prescindibles para el sistema, por eso advierto, si recuerdan la fecha, eliminen todo lo sospechoso a partir de la infección en adelante, y bueno, lo mas recomendable sería anotar el nombre del virus y eliminarlo al realizar la búsqueda filtrada..

 Después de esto solo queda reiniciar el equipo y Felicidades por el esfuerzo puesto en la eliminación del troyano....

Actualización Julio 2014
Al parecer los laboratorios encargados de la seguridad cibernética se han puesto las pilas y han liberado nuevas actualizaciones para erradicar el presente virus. Por tanto, a conseguir una buena conexión a la red y actualizar cuanto antes el Antivirus de uso. Caso resuelto.

Terminamos el post no sin antes recomendarles a Caciatore para la restauración de sus unidades extraibles, también resulta efectivo contra este tipo de virus si se ejecuta en modo administrador. Recuerden usarlo antes de abrir un archivo o carpeta sospechosa para evitar futuros inconvenientes.






Tecnología libre, en cada Rincón...




Compartir



Acerca de GEA Project

Loco aventurero, amante de la tecnología y la música romántica, programador, diseñador y compositor en ratos libres, creador del concepto GEA Project: Tecnología libre, en cada rincón... Porque todos deberían vivir para amar



0 comentarios :