Home » , » El compilado JScript ataca de nuevo y en especial a Windows 8

El compilado JScript ataca de nuevo y en especial a Windows 8

Publicado por GEA Project el jueves, 26 de febrero de 2015 | 23:23

Nuevamente y por cuarta ocasión el virus más popular (y en ocasiones temido) hace su aparición con nuevos algoritmos de infección que lo hacen, sin más ni más, el terror de dispositivos externos.



Sus nuevos métodos de propagación incluyen, además de las antiguas operaciones de ocultamiento de archivos y creación de accesos directos falsos, una operación bastante peculiar, el cambio de directorio de todos los archivos incluidos en el pendrive a una carpeta oculta de nombre .Trashes, pero eso no es todo, esta vez usa unos procesos auxiliares para proteger su reproducción, mismos que impiden ejecutar normalmente las herramientas de software en el sistema, impidiendo su eliminación.

Por lo peligroso de la amenaza resulta una tarea laboriosa el tratar de eliminarlo con las herramientas comunes, y por si no fuera poco, para los antivirus mas populares resulta indetectable hasta el momento, menciono a AVAST!, ESET, NORTON, PANDA, Microsoft Security Essential, etc. están en la lista blanca de antivirus sin Defensas ante la inminente amenaza.


La infección...


El proceso de reproducción viral comienza como en todos los demás casos, al insertar un dispositivo infectado, y ejecutando un acceso directo que en teoría debería abrir nuestros archivos sin embargo lo que oculta este acceso es un enlace directo al virus, compilado en el lenguaje JScript (un lenguaje utilizado mayormente en la ejecución de paginas web), así terminamos irremediablemente convirtiendo el PC en un nuevo huesped, que tarde o temprano terminará por infectar todo lo que entre en contacto con sus puertos de entrada.


La solución... Temporal

Como mencionamos anteriormente, si tienes uno de los antivirus de la lista blanca, la desinfección se tendrá que realizar manualmente, pero si dispones de BIT DEFENDER, F-SECURE, G-DATA, KASPERSKY o AVIRA, solo basta realizar una actualización, configurar el software con todas las defensas activadas y ejecutar un análisis completo del equipo para eliminar la amenaza.





Por otro lado, la eliminación manual consta de los siguientes pasos:



1.- Primero hay que finalizar el proceso VBScript (wscript.exe) con el administrador de tareas, para que nos deje trabajar sin interrupciones.




2.- Después finalizar cada proceso con descripción "Microsoft® Windows Based Script Host" que pueden ser amdmgr.exe, cmdmonitor.exe, diskmon32.exe, etc. (para más información ver Procesos Corruptos al final) desde el mismo administrador de tareas (debes saber que la mayoría de los intentos por finalizar estos procesos falla, porque terminan apagando el equipo, puesto que el virus contiene algoritmos de protección para evitar su eliminación, en tal caso ver el Método Alternativo).





3.- Acto seguido activar Mostrar archivos, carpetas y unidades ocultas y Archivos protegidos del sistema operativo en "opciones de carpeta y búsqueda" (Windows 7 y Vista) "Opciones de carpeta" (Windows XP)  y en "Mostrar u ocultar > Elementos ocultos" (Windows 8) en la pestaña Ver.





4.- Ir al directorio Users/~%~/AppData/Roaming para encontrar y eliminar una carpeta "oculta" con nombre aleatorio (skujmyc, o rmldvbyg, o  bxvsq, etc.) la cuál contiene dos o mas archivos JScript que son los virus con que se infectó el equipo, además de incluir archivos de proceso VBScript y adicionales.





5.- Eliminar los accesos directos de los dispositivo externos y recuperar los archivos ocultos, y dentro de la carpeta .Trashes (creada por el virus para enviar todos los archivos) eliminar el directorio de número aleatorio (548, 659, 5874) el cuál contiene un JScript inhabilitado, pero que puede infectar el equipo nuevamente si se ejecuta.








Conectamos nuevamente un pendrive limpio para probar y si no se ocultan las carpetas más, excelentes noticias!, la amenaza fue eliminada, ahora solo basta ser mas precavidos a la hora de abrir nuestros archivos con accesos directos.

En Windows XP (si aun lo usan) y 8 el proceso es similar, no esta demás iniciar sesión como administrador para eliminar los procesos corruptos y eliminar eficazmente la carpeta contenedora en el PC. Sin embargo Windows 8 parece llevar la peor parte, como mencionamos anteriormente, al intentar eliminar uno o más de los procesos corruptos tiende a apagar el equipo, y tales procesos en ejecución impiden abrir normalmente las herramientas del sistema (inicio en modo seguro) necesarias para realizar el método alternativo, aunque no por mucho...


Método alternativo

Primero hay que instalar y/o abrir el CCleaner, un limpiador en toda la extensión de la palabra: 

Hacer una limpieza profunda eliminando temporales, cookies, historiales, datos de navegación, etc. 

Acto seguido ir a la pestaña de Herramientas > Inicio, buscar y desactivar o eliminar las entradas que contengan el directorio "numérico" dentro del cual está el JScript viral (ej. "
Users/~%~/AppData/Roaming/skujmyc/qslqm.jscript")


Reiniciar y eliminar el contenedor viral del PC y los dispositivos externos (Paso 3, 4 y 5)

CCleaner contribuye a detener los procesos virales que inician con windows, para una eliminación más fácil del fichero contenedor. Tal y como mencionamos puede no funcionar en Windows 8.


La solución definitiva...

Desde GEA Project® Security Systems® seguimos desarrollado la herramienta que le ayudara a solucionar estos molestos problemas ocasionados por virus y demás malware que circula por la red.




Todo el proceso explicado aquí, se realizará de manera automática, con unos cuantos clics y en pocos minutos. Con Caciatore® 7Pro eliminar los virus de Windows 8 es prácticamente "pan comido" .

Con soporte para Windows XP SP3, Vista, 7, 8, 8.1 y 10 es la herramienta más completa y funcional contra los virus y compilados en VBScript y JScript que puedan afectar los dispositivos extraibles y al PC mismo, ayudando a la eliminación eficaz de procesos, replicaciones virales y archivos corruptos en el entorno Windows.

El procedimiento consiste en copiar Caciatore® a cualquier directorio en el PC e instalarlo en el dispositivo a desinfectar, seguir las indicaciones del programa y al finalizar todo estará resuelto. En ocasiones se necesitan dos o más limpiezas, solo basta con ejecutar nuevamente Caciatore® en el pendrive y/o ejecutarlo como administrador para restaurar el óptimo funcionamiento del PC y el dispositivo.
















Procesos corruptos... Eliminados con Caciatore ® (Anexo)

Los procesos del virus se resumen en 11 variantes, con 9 extensiones cada uno, en versión normal, x86 bits y x64 bits, dando un total de 297 diferentes procesos, cada uno de los cuales se activa con el JScript.



Extensiones del proceso 
Versión Normal

Versión x86

Versión x64

AMD amdhost.exe amdmgr.exe amdmon.exe amdmonitor.exe amdproc.exe amdprocess.exe amdsys.exe amdupdate.exe amdupdater.exe

amdhost32.exe amdmgr32.exe amdmon32.exe amdmonitor32.exe amdproc32.exe amdprocess32.exe amdsys32.exe amdupdate32.exe amdupdater32.exe

amdhost64.exe amdmgr64.exe amdmon64.exe amdmonitor64.exe amdproc64.exe amdprocess64.exe amdsys64.exe amdupdate64.exe amdupdater64.exe

CMD cmdhost.exe cmdmgr.exe cmdmon.exe cmdmonitor.exe cmdproc.exe cmdprocess.exe cmdsys.exe cmdupdate.exe cmdupdater.exe

cmdhost32.exe cmdmgr32.exe cmdmon32.exe cmdmonitor32.exe cmdproc32.exe cmdprocess32.exe cmdsys32.exe cmdupdate32.exe cmdupdater32.exe

cmdhost64.exe cmdmgr64.exe cmdmon64.exe cmdmonitor64.exe cmdproc64.exe cmdprocess64.exe cmdsys64.exe cmdupdate64.exe cmdupdater64.exe

DISK diskhost.exe diskmgr.exe diskmon.exe diskmonitor.exe diskproc.exe diskprocess.exe disksys.exe diskupdate.exe diskupdater.exe

diskhost32.exe diskmgr32.exe diskmon32.exe diskmonitor32.exe diskproc32.exe diskprocess32.exe disksys32.exe diskupdate32.exe diskupdater32.exe

diskhost64.exe diskmgr64.exe diskmon64.exe diskmonitor64.exe diskproc64.exe diskprocess64.exe disksys64.exe diskupdate64.exe diskupdater64.exe

DLL dllhost.exe 
dllmgr.exe 
dllmon.exe dllmonitor.exe dllproc.exe dllprocess.exe dllsys.exe 
dllupdate.exe dllupdater.exe

dllhost32.exe 
dllmgr32.exe 
dllmon32.exe dllmonitor32.exe dllproc32.exe dllprocess32.exe dllsys32.exe dllupdate32.exe dllupdater32.exe

dllhost64.exe 
dllmgr64.exe 
dllmon64.exe dllmonitor64.exe dllproc64.exe dllprocess64.exe dllsys64.exe dllupdate64.exe dllupdater64.exe

DSK dskhost.exe dskmgr.exe dskmon.exe dskmonitor.exe dskproc.exe dskprocess.exe dsksys.exe dskupdate.exe dskupdater.exe

dskhost32.exe dskmgr32.exe dskmon32.exe dskmonitor32.exe dskproc32.exe dskprocess32.exe dsksys32.exe dskupdate32.exe dskupdater32.exe

dskhost64.exe dskmgr64.exe dskmon64.exe dskmonitor64.exe dskproc64.exe dskprocess64.exe dsksys64.exe dskupdate64.exe dskupdater64.exe

HP hphost.exe 
hpmgr.exe 
hpmon.exe hpmonitor.exe hpproc.exe hpprocess.exe hpsys.exe hpupdate.exe hpupdater.exe

hphost32.exe 
hpmgr32.exe 
hpmon32.exe hpmonitor32.exe hpproc32.exe hpprocess32.exe hpsys32.exe hpupdate32.exe hpupdater32.exe

hphost64.exe
hpmgr64.exe 
hpmon64.exe hpmonitor64.exe hpproc64.exe hpprocess64.exe hpsys64.exe hpupdate64.exe hpupdater64.exe

INTEL intelhost.exe intelmgr.exe intelmon.exe intelmonitor.exe intelproc.exe intelprocess.exe intelsys.exe intelupdate.exe intelupdater.exe

intelhost32.exe intelmgr32.exe intelmon32.exe intelmonitor32.exe intelproc32.exe intelprocess32.exe intelsys32.exe intelupdate32.exe intelupdater32.exe

intelhost64.exe intelmgr64.exe intelmon64.exe intelmonitor64.exe intelproc64.exe intelprocess64.exe intelsys64.exe intelupdate64.exe intelupdater64.exe

MS mshost.exe 
msmgr.exe 
msmon.exe msmonitor.exe msproc.exe msprocess.exe mssys.exe msupdate.exe msupdater.exe

mshost32.exe 
msmgr32.exe msmon32.exe msmonitor32.exe msproc32.exe msprocess32.exe mssys32.exe msupdate32.exe msupdater32.exe

mshost64.exe 
msmgr64.exe
msmon64.exe msmonitor64.exe msproc64.exe msprocess64.exe mssys64.exe msupdate64.exe msupdater64.exe

TCP tcphost.exe 
tcpmgr.exe 
tcpmon.exe tcpmonitor.exe tcpproc.exe tcpprocess.exe tcpsys.exe tcpupdate.exe tcpupdater.exe

tcphost32.exe 
tcpmgr32.exe tcpmon32.exe tcpmonitor32.exe tcpproc32.exe tcpprocess32.exe tcpsys32.exe tcpupdate32.exe tcpupdater32.exe

tcphost64.exe 
tcpmgr64.exe
tcpmon64.exe tcpmonitor64.exe tcpproc64.exe tcpprocess64.exe tcpsys64.exe tcpupdate64.exe tcpupdater64.exe

UDP udphost.exe udpmgr.exe udpmon.exe udpmonitor.exe udpproc.exe udpprocess.exe udpsys.exe udpupdate.exe udpupdater.exe

udphost32.exe udpmgr32.exe udpmon32.exe udpmonitor32.exe udpproc32.exe udpprocess32.exe udpsys32.exe udpupdate32.exe udpupdater32.exe

udphost64.exe udpmgr64.exe udpmon64.exe udpmonitor64.exe udpproc64.exe udpprocess64.exe udpsys64.exe udpupdate64.exe udpupdater64.exe

WIN winhost.exe 
winmgr.exe 
winmon.exe winmonitor.exe winproc.exe winprocess.exe winsys.exe winupdate.exe winupdater.exe
winhost32.exe winmgr32.exe winmon32.exe winmonitor32.exe winproc32.exe winprocess32.exe winsys32.exe winupdate32.exe winupdater32.exe winhost64.exe winmgr64.exe winmon64.exe winmonitor64.exe winproc64.exe winprocess64.exe winsys64.exe winupdate64.exe winupdater64.exe




Tecnología libre, en cada Rincón...




Compartir



Acerca de GEA Project

Loco aventurero, amante de la tecnología y la música romántica, programador, diseñador y compositor en ratos libres, creador del concepto GEA Project: Tecnología libre, en cada rincón... Porque todos deberían vivir para amar



2 comentarios :

Anónimo dijo...

muchas gracias me sirvió de mucho.. no sabia que hacer ya.. pensé que era un kido o conficker pero era un jscrip..

Hez Wolvus dijo...

Nos alegra que te haya servido amigo, recuerda añadirlo a excepciones de tu antivirus para evitar inconvenientes