Virus (w32.vrbat) usbcheck.exe ataca disco duro

Considerado como uno de los programas malignos más devastadores de los últimos años USBCheck.exe es el nombre del archivo responsable de la rotura de miles de HDD de todas las marcas reconocidas, es un virus que se propaga por las unidades USB aprovechando la vulnerabilidad de Windows de auto ejecución de archivos (Autorun.inf).

EL CONTAGIO:

Al insertar una unidad extraíble contaminada el programa auto ejecuta el fichero oculto USBCheck.exe por mediación del archivo autorun.inf como se describe en la imagen. (la ejecución automática no ocurre en sistemas que tengan deshabilitada esta opción, solo se activa al ejecutar manualmente la aplicación.)

Una vez infectada la PC el virus se hace una copia en la carpeta Windows con el nombre de svchost.exe (simulando un proceso del sistema), esto permite que sea difícil finalizar el proceso desde el Administrador de Tareas y pase inadvertido por la mayoría de los usuarios, puede ser identificado ya que es el único proceso svchost.exe que se ejecuta con privilegios de usuario en vez de sistema.

Como suele ocurrir el programa deja su huella en el Registro de Windows, específicamente en la cadena:
HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Modifica el valor “Shell” agregándole seguido del explorer.exe la ubicación del virus (svchost.exe)

De este modo se garantiza que sea ejecutado cada vez que reinicia el sistema como si se tratara de un proceso legítimo de Windows.
El conteo regresivo del virus se almacena en esta cadena:

HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1

PROPAGACIÓN

Cuando el programa reside en memoria vigila cada nueva unidad extraíble conectada y le crea sus clones en las raíces de las mismas: USBCheck.exe y autorun.inf.

El virus por si solo no produce ninguna acción visible en los primeros días, solo que va haciendo un conteo regresivo en el registro de Windows hasta llegada la fecha programada para lanzar su ataque final.

EL ATAQUE:

Luego de pasar varios días en el ordenador y haber cumplido su misión de auto propagación en varias memorias extraíbles el programa se prepara para lanzar un ataque a todos los discos físicos conectados a la PC.

Antes del último reinicio del sistema crea dos archivos en la raíz de C:\ con el nombre reco.bin y reco.sys.


Estos ficheros conforman un pequeño sistema operativo basado en Linux cuya función es ejecutar el código del virus antes que Windows, de esta manera el virus tiene plena libertad para operar directamente con el hardware de la PC sin ser detectado por ningún programa antivirus ni bloqueado por el propio Windows.

El archivo reco.bin da las instrucciones para desatar el virus con el siguiente llamado a su compañero reco.sys:

Una vez ejecutado el mini sistema reco.sys el virus identifica todos los discos duros (HDD) conectados al ordenador sean IDE o SATA y procede a la fase de bloqueo con contraseña (ATA PASSWORD)

De forma simplificada explico su funcionamiento:

Todos los HDD tienen una protección adicional establecida como nivel de seguridad por el fabricante para poder proteger la información de las unidades en casos de comprometerse la seguridad de algunos sistemas que usan en la actualidad este mecanismo, funciona como medida de prevención para el acceso a los datos por personas o software malintencionado.

Por defecto los HDD destinados a las PC comercial traen las passwords deshabilitadas, el virus aprovecha esta vulnerabilidad para establecer una contraseña a nivel de usuario que impide el acceso total a las informaciones.

La mayoría de los programas y herramientas comunes usadas para diagnosticar y reparar los HDD no advierten o no saben diferenciar cuando un disco se encuentra bloqueado mediante ATA PASSWORD, simplemente parece que todos sus sectores están dañados y por tanto el usuario da por perdida las informaciones y no tiene ni la más remota idea de como volver a recuperarlas.

RECUPERACIÓN:

Desbloquear una unidad protegida con contraseña es “casi” imposible de lograr, a no ser que conozca la clave de cualquiera de sus dos niveles USER o MASTER, pero no se preocupen ya nos hemos roto la cabeza por ustedes y les traemos la solución para remediar el ataque de USBCheck.exe y volver a ver todos sus datos intactos.

En los próximos días estaremos abordando más en este espacio sobre el tema, póximamente publicaremos una nueva variedad de píldora digital para reparar los HDD dañados…

HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA:

Si usted tiene en su PC el virus y aún no se ha desatado la fase destructiva en sus HDD preste mucha atención y siga estos pasos al pie de la letra:

1.    No apague o reinicie su computadora hasta que no la halla desinfectado (Puede ser que el conteo regresivo del virus en su sistema halla llegado al límite y esta sea la última vez que vuelva a ver a sus discos duros funcionando.)

2.    Descargue la colección de Píldoras Digitales (aquí) y luego ejecute la píldora DP_USBCheck.exe. Recomiendo ejecutar todas las píldoras para la eliminación de otros posibles virus.
3.    Haga clic en el botón “Escanear PC” (si el virus está activo la píldora eliminará de su sistema todo rastro del mismo).

4.    Para evitar infectarse de este y otros virus que acceden mediante sus dispositivos USB descargue cuanto antes USB-AV Antivirus (aquí) y manténgalo actualizado de forma diaria si le es posible.

Anuncios

Acerca de Yunixander Díaz

Ingeniero Informático. Responsable de las Redes Sociales (Community Manager) del Periódico 26 de Las Tunas, Cuba.

Publicado el 20 de julio de 2016 en >El rincón de la informática. Añade a favoritos el enlace permanente. 3 comentarios.

  1. oye me puedes dar mas datos de estoss virus, por que no si lo tenga, pero lo que si es que instale el antivuris que sea (ya he instalado 4 diferentes) todos los desinstala, luego de cierto tiempo apaga el ordenador no abre documentos, borra archivos o programas, o cuando se inicia no se ven los iconos y si se mueve el puntero pero solo eso no da nada con los clics ni izquierdo ni derecho y solo algunas combinaciones de teclas sirven entre ellas el administrador de tareas pero por ejemplo el block may no funciona estudie tsu en tic y tuve que mandarla a reparar (osea por eso me mate 3 años de mi vida) y no he podido hacer nada espero me puedas ayudar

  2. eyyy el virus no lo tienes =D kiero infectarme para desbloquear un HDD

  1. Pingback: VIRUS DE GUSANO | hipótesis sobre virus informático

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Esquina Caliente

Un espacio de análisis y debate en torno al deporte y la sociedad

La pupila insomne

...Oh, la pupila insomne y el párpado cerrado. Rubén Martínez Villena

EL REVOLUCIONARIO ESCARLATA

CON ACIERTOS DETECTABLES Y ERRORES EXCUSABLES, OFREZCO PRENSA ALTERNATIVA, ALGO DE LITERATURA, UN POCO DE FILOSOFÍA Y UNA PIZCA DE HUMOR

The WordPress.com Blog

The latest news on WordPress.com and the WordPress community.

A %d blogueros les gusta esto: