Los lugares públicos para acceder a Internet (cyber cafés, escuelas, bibliotecas…) son verdaderos nidos de infección. Los PC infectados de estos lugares, por descuido o malicia, infectan a los dispositivos extraibles que le son conectados. Este es un tipo de infección que se propaga a través de dispositivos extraibles: memoria USB (el caso más frecuente), disco duro externo, tarjeta flash, Ipod, reproductor MP3, cámara fotográfica, etc…
Por ello un dispositivo que sea conectado a un PC infectado será infectado también si la infección está activa. Es decir, el dispositivo quedará infectado automáticamente simplemente conectandolo al PC si la ejecución automática está activa en el dispositivo extraible.
Luego, el simple hecho de abrir Mi PC y hacer doble clic en la memoria usb o disco duro externo infectará el sistema operativo y así sucesivamente…
Cuáles son los síntomas
- El doble clic para abrir los dispositivos móviles infectados no funciona
- Si haces visible los archivos y carpetas ocultos, notarás que la memoria usb contiene varios archivos y procesos desconocidos y por lo tanto infectados. Por ningún motivo les des doble clic para abrirlos ya que activarán la infección, si es que ya no ha sido hecho!
- El elemento clave para que la infección se propague automáticamente de la memoria USB al PC y del PC a una memoria USB es la activación del archivo autorun.inf, al hacer doble clic para acceder a los archivos de la memoria USB
Métodos de desinfección
Antes de pasar alguna de estas herramientas, cierra todos los programas que se estén ejecutando y conecta al PC todos los dispositivos externos que puedan estar infectados (discos duro, memoria USB, Ipod…), repite la operación si tienes varios dispositivos extraibles que pueden estar infectados.
- Descarga Flash_Disinfector (para XP) de sUBs en el Escritorio:
- http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe
- Nota: Este programa puede activar la alerta del antivirus: si es así desactivalo momentaneamente ya que es una falsa alerta.
- Haz doble clic en Flash_Disinfector.exe para ejecutarlo.
- Si no has conectado la memoria USB, se te pedirá conectarla.
- Cuando aparezca el mensaje: If you have a flash drive, please plug it in the machine conecta la memoria USB o dispositivos USB externos que puedan estar infectados. Luego haz clic en OK
- Los iconos del escritorio desaparecerán hasta que aparezca el mensaje: Done!
- Descarga RavAntivirus de Evosla (para XP y Vista):
- http://www.evosla.com/compteur.php?soft=rav_antivirus
- Conecta los dispositivos móviles sin abrirlos antes de ejecutar el programa
- Descomprime el archivo en el escritorio
- Haz doble clic en RAV.exe para ejecutar la herramienta
- Una vez ejecutado RAV ANTIVIRUS escaneará automáticamente todas las unidades que puedan estar infectadas
- El programa generará un informe en caso que detecte una infección, si no mostrará el mensaje: “Your computer is clean”
- Retira los dispositivos extraibles y reinicia el PC.
Ahora veremos otras dos herramientas que puedes utilizar para completar la desinfección:
- Symantec: http://securityresponse.symantec.com/avcenter/FxRajump.exe
- En el escritorio, haz doble clic en el archivo FxRajump.exe
- Luego haz clic en Start para iniciar la limpieza.
- Al final, se abrirá una ventana que indicará el fin de la búsqueda.
- El archivo FxRajump.log será creado en el escritorio, con el listado de archivos y claves de registro que han sido eliminados.
- Mcafee: http://vil.nai.com/VIL/stinger/
- Haz clic en Download v3.x.x para descargar el archivo, luego ejecútalo.
- Si las letras correspondientes a los dispositivos externos no aparecen automáticamente en la lista de unidades que serán escaneadas, agrégalas manualmente con el botón "Browse" para seleccionarlas.
- Luego pulsa el botón "Scan Now" para iniciar la limpieza.
- Autorun Plasma: Descargar Autorun Plasma
- Guarda el archivo zip en una carpeta
- Colocalo en la raiz de tu memoria USB.
Importante: Mientras no estés seguro de haber eliminado la infección, no abras ninguno de los discos o dispositivos externos dandoles doble clic, si no puedes vover a ejecutar la infección!
Caso de PC en red
- Por ejemplo, el gusano Rjump (AdobeR.exe, Ravmonlog...) además de copiarse en los dispositivos externos, se propaga también utilizando las carpetas compartidas en los PC en red y abre un backdoor (puerta trasera) configurando a espaldas del usuario una excepción en el firewall de Windows. Por lo tanto es muy probable que esté gusano se propague en los archivos compartidos en la red.
- Si un PC está en red, debe ser aislado de la red y verificar que las carpetas/discos compartidos estén limpios, no lo vuelvas a conectar mientras no estés seguro que también los otros equipos estén limpios o desinfectados, si no la infección se puede propagar de nuevo.
¿Cómo protegerse a diario en PC públicas?
- Una precaución muy simple a tener en cuenta con las memorias USB en el caso de que tengamos que conectarlas a un PC público (incluso si está infectado): tan solo tener la memoria USB bloqueada contra escritura conteniendo una carpeta autorun.inf.
- También tenemos la posibilidad de vacunar nuestra memoria USB, creando carpetas con los nombres de archivos infectados que se copian y pegan en los dispositivos que conectamos en un PC infectado, y darles el permiso de sólo lectura. Así, la infección no podrá "aplastar" un archivo o carpeta existente y por lo tanto no podrá propagarse. Descarga el ejecutable siguiente: VaccinUSB.exe
- Sólo tienes que copiar el archivo en la raíz del dispositivo que quieres “vacunar”, luego hacer doble clic en el archivo. De este modo se crearán carpetas con los nombres de los archivos infectados más comunes, luego podrás eliminar el archivo VaccinUSB.exe
- Este práctico truco, te permitirá conservar tu memoria USB limpia aun si lla conectas a un PC infectado!
PD: El
artículo original fue escrito por green day, contribuidor de
CommentCaMarche
A donde van los archivos que se borran de una memoria usb