Como es sabido, en todas las escuelas siempre debe haber algún tipo de virus dentro del Centro de Cómputo, pues si no de que otra manera se puede practicar aquella teoría de la Arcquitectura Cliente-Servidor, o eso de los tipos de archivos .EXE son Ejecutables, etc. Por ello hay ciertos virus que pueden ocasionar muchos problemas, la mayoría con las memorias USB de los alumnos que son víctimas de las fechorías de este tipo de SW (gusanos).
Primero vamos a entender como funciona? ok, para que un virus infecte cualquier dispositivo (llamese Pen Drive, Disco Duro o incluso Memorias ROM) es necesario que EL ARCHIVO .EXE SEA EJECUTADO, esto es, que el nombre de mi "virus" que usualmente tiene una extensión .exe, corra como una aplicación. A esto, muchas personas dirán "pero como es posible? si se supone que tengo que dar doble click a la aplicación (algunas veces basta un click) o cuando menos dar Enter" y la respuesta es sencilla:
Un "disparador" del virus
Un que??? si, un "disparador" una aplicación que llame a ejecución al virus en cuestión. Sigamos explicando como es que funciona. Cuando un virus infecta un dispositivo es por que fue ejecutado, la mayoría de la gente ya detecta los nombres raros como "virus" y aún mas si terminan como .exe. Bien, ya no es tan fácil que un usuario ejecute por si solo un virus, así que necesita de un "disparador", en este caso el famosisimo archivo AUTORUN.INF que en Windows es un recurso muy utilizado para ejecutar una acción determinada al insertar un medio extraíble como CD, DVD o Pen Drive.
Haciendo un poco de analogía, recuerdan aquellos CD's que insertaban a su PC y automáticamente se iniciaba ya sea la instalación o el programa en cuestión? alguna vez tuvieron la curiosidad de saber como se hacía esto? sencillo, Windows crea un tipo de archivo de texto plano (modificable con block de notas) en el cual se incluyen comandos (Open, Label, Icon) que pueden ejecutar una acción determinada. Entonces supongamos que insertamos un CD de alguna aplicación, por ejemplo Nero 10 (quemador de cd's) y vemos que al insertarlo automáticamente inicia la instalación, si analizamos el CD archivo por archivo podemos notar que en la carpeta raíz del CD (ya sea D: o E: dependiendo de la letra de tu unidad) existe un archivo llamado Autorun.inf, el cual si lo abrimos con el block de notas contendrá la siguiente instrucción:
Open = Setup.exe
.
.
Además de algunos parámetros más, lo cual significa "Abre el archivo Setup.exe" el cual contiene la instalación del programa. Ahora se dan idea de como funciona con un virus?. Claro! si por ejemplo, yo creo un CD con datos, el cual contiene un virus ejecutable y creo un Archivo llamado Autorun.inf en el cual le especifique que Abra el archivo mi_virus.exe, seguramente al insertar dicho CD en cualquier PC con Windows detectará el archivo Autorun.inf y al abrirlo automáticamente se ejecutará mi virus. Ingenioso no?.
Ahora imaginemos que este archivo se encuentra dentro de una Pen Drive (Memoria USB), puede suceder lo mismo al insertar la memoria a la PC con Windows. Algo tan sencillo como realizar un análisis Antivirus al dispositivo antes de abrirlo nos puede evitar muchos problemas, pero aceptémoslo, la mayoría de los usuarios no tienen esa cultura informática y... está bien, digo, sin usuarios así yo no tendría tanto trabajo jejeje... en fin, el crear virus tan eficientes debe ser un buen reto y toda una obra maestra!. Supongamos que el usuario tiene la precaución de realizar un análisis antivirus antes de abrir el contenido de su memoria flash, si ya tuvo esa precaución muy probablemente su antivirus esté actualizado con los ultimos DAT's del repositorio principal, además de estar configurado correctamente para escanear TODOS los archivos, inclusive los ocultos, en este caso el usuario se ahorraría horas de angustia por haber perdido toda su información, pero creo que estoy creando un mundo de caramelo donde todo es perfecto... bien, me conformo con que el usuario pase un análisis antivirus, pero estamos analizando como funcionan dichos virus así que sigamos XD.
Como ya dijimos que debe ser una obra maestra basada en el ingenio, qué se me ocurriría para que el antivirus no localice a mi virus? pues estudiando la mayoría de las configuraciones de estos Softwares me doy cuenta que por default no revisan archivos ocultos o de sistema, esto por que el Antivirus gasta mas recursos y alenta mas el equipo (estúpida configuración pero viene del fabricante), entonces se me ocurre que mi Virus tenga propiedades como Archivo OCULTO y además de SISTEMA. Con esto debería pasar de largo el antivirus y no detectarlo =), recordando que además su disparador es el Autorun.inf que no contiene mas que comandos en un simple archivo de texto plano =D(y por tanto no es reconocido como virus), todo esto aunado a que el Autorun.inf contiene mas parametros como tipo de icono, etiqueta, etc. Entonces lo que sucede es lo siguiente:
Conecto mi memoria USB (como ya les dicen) detecta el dispositivo y se carga automáticamente mi Memoria con la unidad E: (por decir un ejemplo), tomo la precaución de pasar el análisis antivirus y no detecta nada, pero noto algo extraño (solo para muy observadores) EL ICONO DE LA UNIDAD E: NO ES COMO SUELE SER, DE UN DRIVE, SI NO APARECE EN FORMA DE CARPETA, sin importarme esto (por que no soy muy observador) abro la carpeta como acostumbro (dando doble click) y me muestra el contenido de mi USB, en donde Oh sorpresa!!! ha desaparecido toda mi información!!!!! Fuck My Life!!!.. prosigo a buscar desesperadamente toda la info que solía contener (hasta en Mi Pc aunque no sea mi eauipo), acto seguido le pregunto al que más sabe del salón o de la oficina si me puede checar mi memoria por que parece que se me borró toda la info, el(la) tipo(a) accede y se contagia pues sabe lo mismo que tú. Después al no obtener resultado y solo una respuesta algo asi como "uuuuy creo que tiene virus y te borró todo, deberías formatearla para eliminar el virus..." Hago aquí un paréntesis: QUIEN CHINGADOS LE ENSEÑO A LOS USUARIOS EL TERMINO DE FORMATEAR? digo, para ellos todo se soluciona "Formateando" y ya... FML! pero en fin, sigamos, al no obtener buenos resultados con el colega, acudimos al profe de compu o al encargado de sistemas, en el mejor de los casos estarías mas tranquilo de dejar tu información en las manos de un "experto" pero si no, obtienes una respuesta similar al "tienes virus, hay que formatear!..." entonces acudes al mas fregón de todos los ingenieros de sistemas o al mejor profesor en busca de la tan ansiada respuesta!. Le das tu memoria, esperas los paces mágicos, y habra cadabra!! tu info regresa del limbo y la memoria está limpia!! WOW ESTE TIPO DEBE SER DE OTRO PLANETA - piensas, te vas muy contento y con buen sabor de boca :D...
Pero, podemos evitar todo esto? Si !! solo basta tener un poco de lógica y ser obvio. Recuerdan aquel icono que se les hacía extraño? si, ese en forma de carpeta y no con la forma usual de un disco duro. Recuerdan también que en el archivo Autorun.inf hay una propiedad llamada Icon? creen ustedes que tengan alguna relación? Claro! con la propiedad Icon puedo cambiar el icono de la unidad y usualmente se usa uno conocido o asociado para un usuario común, el de la "carpetita". Al detectar ese icono inusual, aún así damos doble click para abrir la unidad y ver el contenido, adivinen que sucede? Claro, como el archivo Autorun.inf está cargando por default mi unidad E:, también cambia la apariencia del icono y además esta en espera de ser ejecutado (si, ese Autorun que te va a joder tu USB ejecutando el virus que ya está oculto y con propiedades de sistema y además no reconoce el Antivirus) y que hacen por instinto? doble click! tomala... ustedes mismos se ejecutan el Autorun.inf y por ende el virus. Lo que sucede después ya lo vimos jejeje.
Ahora, habrá manera de solucionar esto? Claro! si al insertar nuestra memoria notamos que el icono es diferente, es la primera señal de alarma, procedemos a dar click con el botón derecho del ratón y si es que está seleccionada en negritas la opción OPEN o PLAY seguro el archivo Autorun.inf solo está esperando a ser ejecutado, pero no, lo que haremos será seleccionar la opción Explorar o directamente en la barra de la ventana de Mi PC, click al boton Carpetas. Me va a mostrar las carpetas del lado izquierdo, asi puedo ver el contenido de mi memoria sin haber dado doble click y ejecutado el virus.
Después para limpiarla sigo unos pasos un poco mas complejos pero si se siguen al pie, no habrá ningún problema. una vez que veo el contenido de mi memoria por medio del explorador de windows o de la vista de carpetas, puede ser que anteriormente ya haya ejecutado el virus (lo mas probable) y ya no tenga mis carpetas, pero adivinen? la mayoría de los virus lo único que hacen es OCULTAR LA INFORMACION no borrarla. Si usamos la buena consola del simbolo del sistema podremos mostrarla y de paso, tratar de controlar al virus. El procedimiento es el siguiente:
Vamos al simbolo del sistema (Inicio, Programas, Accesorios, Simbolo del sistema) y me mostrará algo asi como C:\>, dentro de este simbolo primero pasaremos hacia la unidad en cuestión, en mi caso la unidad E:, simplemente nombrandola en la linea de comandos:
C:\> E: (y damos enter)
nos ubicará ahora en la unidad E: como sigue:
E:\>
aqui es donde viene el truco, los archivos ya vimos que tienen atributos (lectura, escritura, oculto, sistema) y seguramente nuestra info está oculta así que recurrimos al comando ATTRIB y sus comodines como sigue:
E:\> ATTRIB -H -S -R *.* /S /D (lo cual significa quitarle atributos de Oculto, de sistema y de solo lectura a todos los archivos incluyendo los que están dentro de los Directorios) importante en mayusculas
Voilá!! si le damos al comando:
E:\> DIR veremos todos nuestros archivos, incluyendo el Autorun.inf
Si es que nuestro antivirus está actualizado (y debería) localizará inmediatamente al virus (pues ya fue desprotegido) y nos libraremos de muchos problemas futuros. Si no es así, recomiendo entonces abrir el archivo Autorun.inf desde un editor de textos, en mi caso como me gusta trabajar con la consola, escribo lo siguiente:
E:\> EDIT Autorun.inf para que me abra un editor de texto plano
Ahí es donde veo en las lineas de código, específicamente en la linea de Open= virus.exe el virus al que me estoy enfrentando. Apunto la ruta de donde se encuentra (usualmente en una ruta escondida como RECYCLER o algo similar) y procedo a eliminar todas las lineas de código del archivo, guardo los cambios y salgo. Para que? sencillo y OBVIO, muchos virus al detectar que el Autorun.inf es eliminado, lo vuelven a generar (inteligentes no?) pero si el archivo continúa ahí pero sin ninguna línea de código, no se ejecutará nunca el virus y éste no volverá a generar el archivo pues ahí se encuentra el archivo... en blanco!.
Listo! has engañado al virus y resta pasar un análisis completo con el Antivirus a todo el sistema para eliminar residuos. Esta guía te ayudará a salir del apuro, cuando menos si es que tienes que entregar información importante al momento y sucede este inconveniente.
Saludos y Buena Vibra!
"In Zeus We Trust"
Ojala los usuarios se detuvieran un momento a leer algo asi, realmente se ahorrarian muchos dolores de cabeza..
ResponderBorrarY para personas como yo que (trabajaba) en un cyber evitar el "oye tu equipo no sirve!, no lee mi memoria!".
Aunque por otra parte es gracias a esos chancros que llega trabajo :D
Así es, como menciono, gracias a ellos, tenemos trabajo jaja. Saludos!
ResponderBorraruna vez mas me sirvio de maravilla! Grax!! ;)
ResponderBorrar