Sus nuevos métodos de propagación incluyen, además de las antiguas operaciones de ocultamiento de archivos y creación de accesos directos falsos, una operación bastante peculiar, el cambio de directorio de todos los archivos incluidos en el pendrive a una carpeta oculta de nombre .Trashes, pero eso no es todo, esta vez usa unos procesos auxiliares para proteger su reproducción, mismos que impiden ejecutar normalmente las herramientas de software en el sistema, impidiendo su eliminación.
Por lo peligroso de la amenaza resulta una tarea laboriosa el tratar de eliminarlo con las herramientas comunes, y por si no fuera poco, para los antivirus mas populares resulta indetectable hasta el momento, menciono a AVAST!, ESET, NORTON, PANDA, Microsoft Security Essential, etc. están en la lista blanca de antivirus sin Defensas ante la inminente amenaza.
La infección...
El proceso de reproducción viral comienza como en todos los demás casos, al insertar un dispositivo infectado, y ejecutando un acceso directo que en teoría debería abrir nuestros archivos sin embargo lo que oculta este acceso es un enlace directo al virus, compilado en el lenguaje JScript (un lenguaje utilizado mayormente en la ejecución de paginas web), así terminamos irremediablemente convirtiendo el PC en un nuevo huesped, que tarde o temprano terminará por infectar todo lo que entre en contacto con sus puertos de entrada.
La solución... Temporal
Como mencionamos anteriormente, si tienes uno de los antivirus de la lista blanca, la desinfección se tendrá que realizar manualmente, pero si dispones de BIT DEFENDER, F-SECURE, G-DATA, KASPERSKY o AVIRA, solo basta realizar una actualización, configurar el software con todas las defensas activadas y ejecutar un análisis completo del equipo para eliminar la amenaza.
Por otro lado, la eliminación manual consta de los siguientes pasos:
1.- Primero hay que finalizar el proceso VBScript (wscript.exe) con el administrador de tareas, para que nos deje trabajar sin interrupciones.
2.- Después finalizar cada proceso con descripción "Microsoft® Windows Based Script Host" que pueden ser amdmgr.exe, cmdmonitor.exe, diskmon32.exe, etc. (para más información ver Procesos Corruptos al final) desde el mismo administrador de tareas (debes saber que la mayoría de los intentos por finalizar estos procesos falla, porque terminan apagando el equipo, puesto que el virus contiene algoritmos de protección para evitar su eliminación, en tal caso ver el Método Alternativo).
3.- Acto seguido activar Mostrar archivos, carpetas y unidades ocultas y Archivos protegidos del sistema operativo en "opciones de carpeta y búsqueda" (Windows 7 y Vista) "Opciones de carpeta" (Windows XP) y en "Mostrar u ocultar > Elementos ocultos" (Windows 8) en la pestaña Ver.
4.- Ir al directorio Users/~%~/AppData/Roaming para encontrar y eliminar una carpeta "oculta" con nombre aleatorio (skujmyc, o rmldvbyg, o bxvsq, etc.) la cuál contiene dos o mas archivos JScript que son los virus con que se infectó el equipo, además de incluir archivos de proceso VBScript y adicionales.
5.- Eliminar los accesos directos de los dispositivo externos y recuperar los archivos ocultos, y dentro de la carpeta .Trashes (creada por el virus para enviar todos los archivos) eliminar el directorio de número aleatorio (548, 659, 5874) el cuál contiene un JScript inhabilitado, pero que puede infectar el equipo nuevamente si se ejecuta.
Conectamos nuevamente un pendrive limpio para probar y si no se ocultan las carpetas más, excelentes noticias!, la amenaza fue eliminada, ahora solo basta ser mas precavidos a la hora de abrir nuestros archivos con accesos directos.
En Windows XP (si aun lo usan) y 8 el proceso es similar, no esta demás iniciar sesión como administrador para eliminar los procesos corruptos y eliminar eficazmente la carpeta contenedora en el PC. Sin embargo Windows 8 parece llevar la peor parte, como mencionamos anteriormente, al intentar eliminar uno o más de los procesos corruptos tiende a apagar el equipo, y tales procesos en ejecución impiden abrir normalmente las herramientas del sistema (inicio en modo seguro) necesarias para realizar el método alternativo, aunque no por mucho...
Método alternativo
Primero hay que instalar y/o abrir el CCleaner, un limpiador en toda la extensión de la palabra:
Hacer una limpieza profunda eliminando temporales, cookies, historiales, datos de navegación, etc.
Acto seguido ir a la pestaña de Herramientas > Inicio, buscar y desactivar o eliminar las entradas que contengan el directorio "numérico" dentro del cual está el JScript viral (ej. "Users/~%~/AppData/Roaming/skujmyc/qslqm.jscript")
Reiniciar y eliminar el contenedor viral del PC y los dispositivos externos (Paso 3, 4 y 5)
CCleaner contribuye a detener los procesos virales que inician con windows, para una eliminación más fácil del fichero contenedor. Tal y como mencionamos puede no funcionar en Windows 8.
La solución definitiva...
Desde GEA Project® Security Systems® seguimos desarrollado la herramienta que le ayudara a solucionar estos molestos problemas ocasionados por virus y demás malware que circula por la red.
Todo el proceso explicado aquí, se realizará de manera automática, con unos cuantos clics y en pocos minutos. Con Caciatore® 7Pro eliminar los virus de Windows 8 es prácticamente "pan comido" .
Con soporte para Windows XP SP3, Vista, 7, 8, 8.1 y 10 es la herramienta más completa y funcional contra los virus y compilados en VBScript y JScript que puedan afectar los dispositivos extraibles y al PC mismo, ayudando a la eliminación eficaz de procesos, replicaciones virales y archivos corruptos en el entorno Windows.
El procedimiento consiste en copiar Caciatore® a cualquier directorio en el PC e instalarlo en el dispositivo a desinfectar, seguir las indicaciones del programa y al finalizar todo estará resuelto. En ocasiones se necesitan dos o más limpiezas, solo basta con ejecutar nuevamente Caciatore® en el pendrive y/o ejecutarlo como administrador para restaurar el óptimo funcionamiento del PC y el dispositivo.
Procesos corruptos... Eliminados con Caciatore ® (Anexo)
Los procesos del virus se resumen en 11 variantes, con 9 extensiones cada uno, en versión normal, x86 bits y x64 bits, dando un total de 297 diferentes procesos, cada uno de los cuales se activa con el JScript.
Desde GEA Project® Security Systems® seguimos desarrollado la herramienta que le ayudara a solucionar estos molestos problemas ocasionados por virus y demás malware que circula por la red.
Todo el proceso explicado aquí, se realizará de manera automática, con unos cuantos clics y en pocos minutos. Con Caciatore® 7Pro eliminar los virus de Windows 8 es prácticamente "pan comido" .
Con soporte para Windows XP SP3, Vista, 7, 8, 8.1 y 10 es la herramienta más completa y funcional contra los virus y compilados en VBScript y JScript que puedan afectar los dispositivos extraibles y al PC mismo, ayudando a la eliminación eficaz de procesos, replicaciones virales y archivos corruptos en el entorno Windows.
El procedimiento consiste en copiar Caciatore® a cualquier directorio en el PC e instalarlo en el dispositivo a desinfectar, seguir las indicaciones del programa y al finalizar todo estará resuelto. En ocasiones se necesitan dos o más limpiezas, solo basta con ejecutar nuevamente Caciatore® en el pendrive y/o ejecutarlo como administrador para restaurar el óptimo funcionamiento del PC y el dispositivo.
Procesos corruptos... Eliminados con Caciatore ® (Anexo)
Los procesos del virus se resumen en 11 variantes, con 9 extensiones cada uno, en versión normal, x86 bits y x64 bits, dando un total de 297 diferentes procesos, cada uno de los cuales se activa con el JScript.
Extensiones del proceso
|
Versión Normal
| Versión x86 | Versión x64 |
| AMD | amdhost.exe
amdmgr.exe
amdmon.exe
amdmonitor.exe
amdproc.exe
amdprocess.exe
amdsys.exe
amdupdate.exe
amdupdater.exe
|
amdhost32.exe
amdmgr32.exe
amdmon32.exe
amdmonitor32.exe
amdproc32.exe
amdprocess32.exe
amdsys32.exe
amdupdate32.exe
amdupdater32.exe
|
amdhost64.exe
amdmgr64.exe
amdmon64.exe
amdmonitor64.exe
amdproc64.exe
amdprocess64.exe
amdsys64.exe
amdupdate64.exe
amdupdater64.exe
|
| CMD | cmdhost.exe
cmdmgr.exe
cmdmon.exe
cmdmonitor.exe
cmdproc.exe
cmdprocess.exe
cmdsys.exe
cmdupdate.exe
cmdupdater.exe
|
cmdhost32.exe
cmdmgr32.exe
cmdmon32.exe
cmdmonitor32.exe
cmdproc32.exe
cmdprocess32.exe
cmdsys32.exe
cmdupdate32.exe
cmdupdater32.exe
|
cmdhost64.exe
cmdmgr64.exe
cmdmon64.exe
cmdmonitor64.exe
cmdproc64.exe
cmdprocess64.exe
cmdsys64.exe
cmdupdate64.exe
cmdupdater64.exe
|
| DISK | diskhost.exe
diskmgr.exe
diskmon.exe
diskmonitor.exe
diskproc.exe
diskprocess.exe
disksys.exe
diskupdate.exe
diskupdater.exe |
diskhost32.exe
diskmgr32.exe
diskmon32.exe
diskmonitor32.exe
diskproc32.exe
diskprocess32.exe
disksys32.exe
diskupdate32.exe
diskupdater32.exe
|
diskhost64.exe
diskmgr64.exe
diskmon64.exe
diskmonitor64.exe
diskproc64.exe
diskprocess64.exe
disksys64.exe
diskupdate64.exe
diskupdater64.exe
|
| DLL | dllhost.exe dllmgr.exe dllmon.exe dllmonitor.exe dllproc.exe dllprocess.exe dllsys.exe dllupdate.exe dllupdater.exe |
dllhost32.exe dllmgr32.exe dllmon32.exe dllmonitor32.exe dllproc32.exe dllprocess32.exe dllsys32.exe dllupdate32.exe dllupdater32.exe |
dllhost64.exe dllmgr64.exe dllmon64.exe dllmonitor64.exe dllproc64.exe dllprocess64.exe dllsys64.exe dllupdate64.exe dllupdater64.exe |
| DSK | dskhost.exe
dskmgr.exe
dskmon.exe
dskmonitor.exe
dskproc.exe
dskprocess.exe
dsksys.exe
dskupdate.exe
dskupdater.exe
|
dskhost32.exe
dskmgr32.exe
dskmon32.exe
dskmonitor32.exe
dskproc32.exe
dskprocess32.exe
dsksys32.exe
dskupdate32.exe
dskupdater32.exe
|
dskhost64.exe
dskmgr64.exe
dskmon64.exe
dskmonitor64.exe
dskproc64.exe
dskprocess64.exe
dsksys64.exe
dskupdate64.exe
dskupdater64.exe
|
| HP | hphost.exe hpmgr.exe hpmon.exe hpmonitor.exe hpproc.exe hpprocess.exe hpsys.exe hpupdate.exe hpupdater.exe |
hphost32.exe hpmgr32.exe hpmon32.exe hpmonitor32.exe hpproc32.exe hpprocess32.exe hpsys32.exe hpupdate32.exe hpupdater32.exe |
hphost64.exe hpmgr64.exe hpmon64.exe hpmonitor64.exe hpproc64.exe hpprocess64.exe hpsys64.exe hpupdate64.exe hpupdater64.exe |
| INTEL | intelhost.exe
intelmgr.exe
intelmon.exe
intelmonitor.exe
intelproc.exe
intelprocess.exe
intelsys.exe
intelupdate.exe
intelupdater.exe
|
intelhost32.exe
intelmgr32.exe
intelmon32.exe
intelmonitor32.exe
intelproc32.exe
intelprocess32.exe
intelsys32.exe
intelupdate32.exe
intelupdater32.exe
|
intelhost64.exe
intelmgr64.exe
intelmon64.exe
intelmonitor64.exe
intelproc64.exe
intelprocess64.exe
intelsys64.exe
intelupdate64.exe
intelupdater64.exe
|
| MS | mshost.exe msmgr.exe msmon.exe msmonitor.exe msproc.exe msprocess.exe mssys.exe msupdate.exe msupdater.exe |
mshost32.exe msmgr32.exe msmon32.exe msmonitor32.exe msproc32.exe msprocess32.exe mssys32.exe msupdate32.exe msupdater32.exe |
mshost64.exe msmgr64.exe msmon64.exe msmonitor64.exe msproc64.exe msprocess64.exe mssys64.exe msupdate64.exe msupdater64.exe |
| TCP | tcphost.exe tcpmgr.exe tcpmon.exe tcpmonitor.exe tcpproc.exe tcpprocess.exe tcpsys.exe tcpupdate.exe tcpupdater.exe |
tcphost32.exe tcpmgr32.exe tcpmon32.exe tcpmonitor32.exe tcpproc32.exe tcpprocess32.exe tcpsys32.exe tcpupdate32.exe tcpupdater32.exe |
tcphost64.exe tcpmgr64.exe tcpmon64.exe tcpmonitor64.exe tcpproc64.exe tcpprocess64.exe tcpsys64.exe tcpupdate64.exe tcpupdater64.exe |
| UDP | udphost.exe
udpmgr.exe
udpmon.exe
udpmonitor.exe
udpproc.exe
udpprocess.exe
udpsys.exe
udpupdate.exe
udpupdater.exe
|
udphost32.exe
udpmgr32.exe
udpmon32.exe
udpmonitor32.exe
udpproc32.exe
udpprocess32.exe
udpsys32.exe
udpupdate32.exe
udpupdater32.exe
|
udphost64.exe
udpmgr64.exe
udpmon64.exe
udpmonitor64.exe
udpproc64.exe
udpprocess64.exe
udpsys64.exe
udpupdate64.exe
udpupdater64.exe
|
| WIN | winhost.exe winmgr.exe winmon.exe winmonitor.exe winproc.exe winprocess.exe winsys.exe winupdate.exe winupdater.exe |
winhost32.exe winmgr32.exe winmon32.exe winmonitor32.exe winproc32.exe winprocess32.exe winsys32.exe winupdate32.exe winupdater32.exe | winhost64.exe winmgr64.exe winmon64.exe winmonitor64.exe winproc64.exe winprocess64.exe winsys64.exe winupdate64.exe winupdater64.exe |
Tecnología libre, en cada Rincón...
Entradas
3 comentarios :
muchas gracias me sirvió de mucho.. no sabia que hacer ya.. pensé que era un kido o conficker pero era un jscrip..
Nos alegra que te haya servido amigo, recuerda añadirlo a excepciones de tu antivirus para evitar inconvenientes
Valla... única parte que encuentro información sobre este virus, cual sería el nombre de este?
Publicar un comentario