Virus Recycler

Llevaba ya una semana con algo que me escamaba, pero hasta hoy a las 7 de la mañana no me había puesto a buscar sobre lo que me pasaba, al inicio de windows me salía las propiedades de una carpeta/aplicación con algo parecido a estos datos:

Propiedades de System
General
System
Tipo: Aplicacion
Origen: S-1-5-21-5311846712-4121495154-682003330-5111
Tamaño: 0 bytes

El caso es que yo ya me intuía que podía ser un virus, porque esa carpeta no tenía muy buena pinta. Hoy he mirado en la web, y efectivamente, es un virus, que tiene por nombre RECYCLER:

¿QUÉ HACE?

1.- Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013 y dentro de esta carpeta crea un archivo “Desktop.ini” el cual contiene una línea: “[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}” que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: “ise.exe” e “isee.exe”. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos limpios.

2.- Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y enviar comandos diversos al PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3.- Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”

4.- Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1

5.- Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe

¿CÓMO QUITARLO?

No os preocupeis, no es complicado de quitar o bien usáis el programa que podéis descargar aquí: Programa, o bien hacéis los siguientes pasos

• Abrir una consola de comandos (cmd.exe)

• Finalizar el proceso del explorador (explorer.exe):

  • taskkill /f /im explorer.exe

• Tipear:

  • cd \Recycler

• Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:

  • attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013

• Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:

  • ren S-1-5-21-1482476501-1644491937-682003330-1013 asdfasdfasdf

• Abrir el explorador de windows tipeando en la consola:

  • explorer.exe.

• Ir a la carpeta Recycler y veremos nuestra carpeta llamada “asdfasdfasdf” . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Vale, eso funciona en uno de cada 3 portátiles, lo que os voy a contar ahora funciona en todos, y es MÁS FÁCIL: abrid el explorador de Windows, en el menú superior (si estáis en vista y no lo veis dadle a la tecla “alt”) buscad herramientas, y dentro de herramientas a opciones de carpeta, en la segunda carpeta, marcad la opción de ver archivos ocultos, y bajad y desmarcad la de ocultar archivos del sistema, aceptar a todo, idos ahora a TODAS las unidades de disco que tengáis (sean externos o discos duros) e id buscando en la raíz (la raíz de C es C:\ es decir, nada más entrar) una carpeta que se llame RECYCLER, borradla, pero no con el método tradicional, usad Shift + Supr (Shift + Del), para un borrado sin dejar permisos ni guardar en la papelera… hacedlo todo seguido, sin entrar ni abrir carpetas, si aún así os salen de nuevo las carpetas, idos a C:\ y buscad si hay algún archivo .txt, todos los que tengan esta extensión (y veáis que no son vuestros, claro) borradlos y borrad las carpetas de nuevo, con esto he conseguido solucionar yo el problema. Comentad si funciona.

fuente del artículo: MygeekInside