Bien el caso es que he visto miles de veces la pregunta de no puedo sacar tal gusano, tal virus, tal trojano de mi usb y de sistema operativo, esto se complica porque en la mayoria de las ocasiones los antivirus, desde el más gacho hasta el más chido, se arranan a la hora de desterrar un virus, simplemente porque el archivo del virus está protegido.
Y el protejer los archivos y hacerlos ocultos es lo más báisco que existe y prácticamente los diseñadores de virus lo usan desde la prehistoria de estos bichos, pero como todo principio siempre es olvidado muchos le dan vuelta que polymorfismo, que encryptar código que comprimir con upx, pura mamada, basta con que cualquier bichito desde un simple archivo de comandos por lotes (bat) ordenando darle delete a todos los files con extensión .doc hasta un troyano de última generación, esté protejido y oculto para que cualquier antivirus le haga lo que el viento a Juárez.
Bien pues sabiendo este principio es fácil desterrar cualquier alimaña que nos esté causando problemas. Tan fácil como escribir una línea de comando desde el cmd y hacernos de los privilegios que tengan los archivos que guardemos en la unidad.
Cabe aclarar que sirve para casi cualquier cosa pero he apartadro el caso del usb porque es el más común con el que nos encontramos, creo que en la actualidad los gusanos infectados a través de una unidad usb son más comunes que los propios gusanos de red que hace unos años dominaron el mundo digital.
Bien pero vamos a la práctica. Existe entre los comandos de sistema para ser usados en una línea de comando (no voy a decir msdos porque desde el xp ya no existe más que un emulador que se llama cmd) uno en particular que nos es muy util pero también es muy poco frecuente y casi hasta olvidado.
Se trata del comando attrib que en unix se llama chmod y sirve para adicionar atributos de sistema a los archivos, es decir cualquier archivo puede ser manipulado por el comando attrib de tal manera que pueda ocultarse o considerarse archivo de sistema y protejerse.
Si un antivirus dice que tu usb está infectado con un virus pero lo abres y en tu usb no se ve ningún archivo sospechoso probablemente no lo puedas ver porque está oculto, bueno, te vas a la pestaña de ver archivos ocultos y tampoco puedes verlo es porque seguramente está manipulado para que paresca un archivo de sistema y esté protegido, de esta manera no podrás ver los archivos sospechosos ni por la línea de comandos, simplementes no podrás.
Es aquí donde entra en acción el comando attrib, si te vas ala raiz de tu usb y aplicas el comando attrib te encontrarás que los archivos que no podías ver sí existen pero están etiquetados con tres letras que son -H -S -R, pero bueno antes de entrar a tareas más cabronas, nos regresemos a lo básico.
Supongamos que ustedes no saben ni madres de atributos de sistema y archivos protegidos, menos saben nada de línea de comandos, pues bien les explico, desde el windows 95 hasta el actual Vista todos los sistemas operativos de windows traen una línea de comandos antes se llamaba MsDos y desde xp se llama símbolo de sistema y lo encontramos generalmente en el menú inicio>Todos los programas>accesorios>simbolo de sistema o lo podemos accesar escribiendo cmd directamente en el menú inicio>ejecutar.
Al accesar símbolo de sistema lo que pasa es que se abre una ventanita negra, esa ventanita negra es la línea de comandos, en esa misma trabajaremos.
Ya sé que algunos saben moverse en el cmd usando los comandos de DOS, para los que no saben les comento que desde esta ventanita y en modo texto accesaremos primero a nuestro usb.
1.- Lo primero que hay que hacer es conectar nuestro usb a un puerto disponible y checar la letra que le asignará nuestro sistema, por lo general son "F" o "G" o alguno otro, esto depende de la cantidad de dispositivos que tengas conectados.
2.- Procedemos a abrir el simbolo de sistema o cmd, ya saben: Menú inicio>Ejecutar>cmd
3.- Una vez abierto el cmd, se abre la ventanita negra, nos damos cuenta que no sale algo como esto.
4.- Con el cmd abierto y sabiendo la letra que el sistema asignó al usb procederemos a navegar hasta la raiz de la unidad usb, en mi caso, teniendo la letra "f" escribo en el cmd la letra "f" seguido por :
Asi:
5.- Justo cuando aparece la letra "F" (o la que el sistema les haya asignado) al principio de la línea de comandos quiere decir que estamos en la raiz de la unidad, ahora aplicamos el comando "attrib" (sin las comillas) a secas..
Justo así:
6.- Si se fijan en la lista luego de la letra A que significa attributes hay algunos archivos etiquetados con letras S H y R, esto quiere decir que esos archivos tiene atributos distintos a los que simplemente no tienen ningún atributo y son archivos normales. Estos archivos (los que tienen S H y R) son los que debemos observar, en el ejemplo mi usb no tiene ningún virus y los archivos que aparecen es porque yo les asigné atributos especiales, por lo general los virus vienen etiquetados con las tres letras juntas SHR lo que los hace invisibles (H significa hide) de Sistema y de sólo lectura (R significa Read Only) es por eso que esos bichos son tan dificiles de borrar y detectar, los antivirus solo lo detectan y no lo pueden borrar.
Otra cosa que deben saber es que la mayoría de los virus que se distribuyen por usb crean un archivo protegido oculto y de sistema el que se llama aoturun.inf (como el que tiene mi unidad, sólo que ese lo hice yo y sirve para activar mi menú) por lo que si encuentran un archivo similar a este (autorun.inf) con los atributos SHR es que seguro tienen un virus, además de este archivo vendrán otros con la extensión .com, .exe y hasta .pif o .scr, todos etiquetados con el SHR, estos son los virus que hay que eliminar y a eso procederemos, primero a quitarles los atributos SHR y luego a eliminarlos.
7.- Usando el mismo comando attrib en el cmd, le quitaremos sus atributos. ¿Cómo? Fácil, escribiendo el comando attrib con los parámetros -s -h -r
Así:
Después de este paso, pueden volver a escribir el comando "attrib" a secas y verán que en la lista aparecerá el archivo autorun.inf sin los atributos SHR lo que significa que ya no está oculto ni es de sistema ni de sólo lectura por lo que podrán verlo en la unidad como si se tratara de cualquier archivo y claro, también pueden borrarlo y desterrarlo de su usb.
Cabe aclarar que esto sirve para quitar atributos y si así lo desean borar los archivos protegidos y que pueden ser virus que suelen ser varios, todos los que tengan el SHR, que traen residente en su usb esparciendo la infección en cualquier pc en la que abran su unidad no obstante casi seguro es que si ya están infectados estos archivos vuelvan a aparecer en su usb porque ahora es la pc la que está infectada.
Pues bien que tampoco vayan por todas las unidades borrando archivos que tengan el SHR porque algunos sí son de sistema y se pueden cargar su sistema operativo, cuando un virus de estos te infecta lo primero que hace es escanear las unidades que tenga y en todas creará archivos similares a los que eliminaste en tu usb, por eso es importante que te aprendas sus nombres y que esta operación la repitas en cada una de las unidades eliminando únicamente los archivos necesarios.
Una técnica que yo uso es monitorear el archivo autorun.inf en mi usb, este archivo yo lo uso porque tengo un menu usb, en realidad este archivo no debe estar en ningún usb normal así que si ustedes no usan un menu usb el autorun.inf es sólo una prueba de que traen un virus. Lo que deben hacer es meterse al cmd quitarle los atributos SHR (cómo ya se indicó arriba) y luego abrirlo, este archivo no es un ejecutable por lo que no es peligroso abrirlo, este archivo da las instrucciones para ejecutar los verdaderos archivos maliciosos por eso si lo abrimos normal (dando doble click) se nos abrirá un documento de texto en el que se verá la ruta y los nombres de los verdaderos ejecutables, una vez viendolos procede a borrarlos como ya les enseñé arriba. Tomen nota de los nombres de los ejecutables (amvo.exe, amva.exe, etc) y hagan una búsqueda en su registro para quitarlo del inicio y luego usando el mismo método del comando attrib busquen archivos protegidos con las etiquetas SHR en la carpeta de sistema (C:\windows\sytem32) y comparen si son los que aparecen en el archivo autorun.inf. Por cierto, una vez que tengan el nombre de los ejecutables maliciosos hagan una búsqueda en google y ahi tendrán instrucciones precisas para eliminarlo del sistema.
Insisto en aclarar que esto no los libra del virus porque si la pc ya está infectada seguramente al iniciarse se volverán a iniciar las secuencias de virus y volverá a estar infectada, así que lo mejor es entrar al sistema en modo seguro. Correr un antispyware o desinfectarlo a mano.
Ojalá que está información les sirva..
