Header Ads

Andromeda

Un virus está causando estragos en los PC de Latinoamérica con SO Windows. Clasificado como Backdoor, ya lleva años haciendo de las suyas, tiene más nombres que Satanás y a la fecha, de acuerdo a Virus Total, solo unos pocos antivirus pueden detectarlo.
A diferencia de la mayoría de virus, Andrómeda no se aloja en el arranque de Windows, lo cual hace más difícil su detección a simple vista. Si en un equipo contaminado ejecutamos regedit, veremos que en la clave Run no hay nada sospechoso.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Algo similar sucede si ejecutamos msconfig y revisamos la pestaña  inicio. Nada que indique su presencia.
Su modus operandi no es igual en cada equipo. Cuando infecta una memoria, desaparece toda la información (siguiendo el patrón de los virus “acceso directo” (.lnk)), con la diferencia de que mueve toda la información del dispositivo usb hacia una carpeta oculta "sin nombre", y deja visible solamente un acceso directo que toma el nombre del dispositivo usb y luego, entre paréntesis, la capacidad del mismo.
Ejemplo: CARLOS (4GB).lnk, ALEIDA (2GB).lnk, TRANSCEND (2GB).lnk, KINGSTON (8GB).lnk etc, y oculta los demás archivos que es donde corre el veneno, comprometiendo seriamente a rundll32.
(C:\WINDOWS\system32\rundll32.exe).
También han aparecido muchas variantes de este virus, como la más reciente JS.Proslikefan.8, que crea una carpeta oculta llamada  .Trashes, la cual contiene los archivos eliminados de la raíz. Puede eliminarlo con nuestra herramienta  Dextroyer o manualmente.
Eliminación manual
Primero debe desbloquear los archivos en la usb, cambiándole los atributos, luego elimina el virus y su arranque (autorun) y por último, recuperar los datos, renombrando la carpeta sin nombre (alt 016 o alt 255) generada por el virus, por cualquier otra.
Haga lo mismo para la carpeta  .Trashes. Tenga especial cuidado con las carpetas a eliminar, ya que Andrómeda, en ocasiones, no transfiere toda la información a la  carpeta sin nombre. Si su dispositivo usb tiene partición NTFS no elimine las carpetas $RECYCLE.BIN / RECYCLER para XP y System Volume Information, pero sí vacíe su contenido.
Si no puede eliminar el autorun.inf de la raíz de su dispositivo usb, o cualquier otro archivo, puede desbloquearlo y eliminarlo con el programa Unlocker o cerrar el explorador de windows y reabrirlo (Ctrl+Alt+Supr, Administrador de Tareas, cerrar explorer.exe y luego nueva tarea explorer.exe. También puede reiniciar su Windows en Modo seguro)
Para el caso de la variante  JS.Proslikefan.8 debe revisar todas las carpetas, en especial aquellas que tienen como nombre un número de tres digitos y verificar su contenido. En el caso de que detecte la presencia de algún archivo con extensión .js (Javascript) deberá eliminarlo de inmediato.
Si desea agregarle más parámetros de borrado a su script (/p, etc), puede consultarlos AQUI
Eliminación en PC
Lo primero es cerrar con taskmgr cualquier proceso relacionado con Windows Update y Windows Installer (Andrómeda los usa para lanzar su carga útil).
Pero también puede lanzarse como un proceso svchost.exe (*32)
Andrómeda se puede alojar en  Program Data
O en una carpeta llamada Local Setting dentro de la cuenta de usuario
O en la carpeta Temp o en cualquier otro lugar. Y puede usar diferentes tipos de archivos y extensiones:
c:\users\usuario\msxry.exe
c:\users\usuario\local setting\temp\ccotce.cmd
c:\ProgramData\local settings\temp\ccjmvywo.src
C:\Users\CULTURA\AppData\Local\Temp\ccqartou.com
Se recomienda variar la papelera de reciclaje, eliminar temporales, utilizar un corrector de registro sistema y verificar los programas que inician con su PC, para desactivar el arranque del malware.
Con la tecnología de Blogger.