¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

DETECTives

ДЕТЕКТивы

Otras ediciones de este tema (6)
  • añadir a favoritos
    Añadir a marcadores

Dr.Web y las máquinas

Consultas: 761 Comentarios: 7 Ranking: 13

martes, 16 de junio de 2020

Vamos a ser sinceros: pocas veces nos toca desinfectar los equipos que no tienen nada que ver con ordenadores y móviles. Solemos trabajar con PCs ordinarios y dispositivos móviles. Pero a veces recibimos cosas raras para el análisis: por ejemplo, hace poco tuvimos que tratar con una máquina de corte por láser. O, mejor dicho, con el software instalado en la misma.

Hemos recibido una máquina de corte por láser china. Tenía instalado el SO Windows 7.

Hemos insertado una unidad USB extraíble libre de virus para copiar los archivos de programas desde la máquina, lo transferimos a un PC de trabajo y recibimos una notificación de virus:

Worm.Siggen.12242 (Infectado) y todos los archivos de la unidad extraíble desaparecieron, apareció una sección oculta. Así mismo, el paquete de entrega de la máquina tenía un software en usb, al intentar copiar los archivos de distribuciones del mismo tuvimos muchas detecciones, véase el adjunto.

Tuvimos suerte: en los PCs de trabajo ya estaba instalado nuestro antivirus corporativo que detectó el problema.

Dr.Web detectó muchas cosas, no solo Worm.Siggen.12242. A propósito, Worm – es un gusano, por lo tanto, el malintencionado podía contar con la infección de toda la red de clientes. Pero no es seguro, a lo mejor todo tiene que ver con la producción china.

Nuestro soporte técnico pidió enseguida un informe de la estación y las muestras del software malicioso para un análisis:

Qué archivos y por qué han sido eliminados, hay que verlo en los logs de la estación. Sin un sample del archivo y logs lamentablemente no podemos hacer nada.

Puede usar esta utilidad para recopilar los logs y adjuntar el informe a la solicitud.

El archivo fue movido a la cuarentena, lo cual está bien porque desde allí el mismo puede ser extracto para un análisis. El usuario tuvo miedo de hacerlo, pero nuestro experto le calmó:

ВTodo lo que Vd. extrae de la cuarentena de forma predeterminada no se elimina con nada enseguida. Solamente debe extraerlo y comprimir enseguida el archivo en un archivo archivado, puede usar la contraseña. Luego debe enviarnos el archivo archivado y puede eliminar este archivo enseguida.

Por supuesto, hace falta extraerlo con cuidado y solo en la estación sin posibilidad de iniciar el archivo.

El análisis detectó otra vez un virus antiguo.

Parece que no sea un falso positivo, sino un virus antiguo que crea accesos directos en vez de carpetas y oculta los archivos. Ahora estos casos son muy poco frecuentes. Por lo visto, todos los archivos en la unidad ahora están ocultos.

En la configuración de visualización de carpetas del navegador, active la visualización de los archivos ocultos y de sistema. O a través de la línea de comandos en nombre del administrador dé un comando

attrib -s -h -a -r E:\* /s /d

Debe recuperar todos los atributos de archivos.

Si la unidad anteriormente era limpia sin duda, significa que el virus había sido implementado al mover los archivos de la máquina, lo cual significa que la máquina está infectada y posiblemente así la entregaron de la fábrica.

Primero, si es posible, la máquina debe ser escaneada con la utilidad CureIt y todas las amenazas detectadas deben ser eliminadas.

Luego al usuario se le entregaron los enlaces a las utilidades especiales de Dr.Web que permiten detectar y desinfectar los problemas.

A propósito, al mismo tiempo el cliente se puso en contacto con el proveedor en China.

El soporte chino era perfecto: «no es un virus, simplemente desactive Su antivirus y trabaje tranquilamente».

El virus fue detectado en la máquina:

El sistema de la máquina seguramente está infectado con BackDoor.Andromeda.178.

La eliminación de este archivo no dañará el sistema. Al contrario, será muy útil. Y por si acaso Vd. puede hacer una copia de seguridad de este archivo antes de realizarlo.

El virus afecta a las unidades USB conectadas y escribe un programa de virus en las mismas (Worm.Siggen.12242; infección del dispositivo).

Además, el virus crea un catálogo en la unidad USB donde en vez del nombre se usa un “espacio” (el carácter de Unicode, non-breaking space") donde el virus transfiere todo el contenido desde la raíz. De esta forma, los datos no han sido dañados y ni siquiera han sido afectados.

Todos ellos pueden ser localizados en este catálogo especial.

Все их можно найти в этом специальном каталоге.

Total Commander debe permitir ver y abrir esta carpeta en caso de activar la visualización de las carpetas/archivos ocultos y de sistema.

La investigación posterior de la máquina demostró que el software malicioso no solamente estaba presente, sino también infectó un programa requerido para el trabajo.

CureIt considera que exe del programa básico está infectado (en la copia de pantalla se ve, está en la unidad D). Si lo elimina. En vez de una máquina de láser tendremos simplemente un montón de metal.

Por suerte, era un virus y no un troyano. Por lo tanto, la eliminación del código malicioso resultó ser posible (recordamos la diferencia entre virus y troyanos: en caso de virus se puede intentar eliminar del archivo el código malicioso).

#antivirus #backup #IIV

El mundo de antivirus recomienda

  1. Los virus antiguos no mueren, es más probable que desaparezcan los sistemas donde los mismos se inician. Pero de momento eso no va a pasar.
  2. Los ordenadores de la red deben tener instado un antivirus corporativo, así mismo, para supervisar las estadísticas de infecciones, porque uno puede insertar una unidad USB en cualquier sitio.
  3. Al comprar un equipo informático, hay que escanearlo con un antivirus.
  4. El hardware es barato hoy día y un software completo que permite iniciar cualquier troyano puede detectarse en cualquier objeto, de impresora a inodoro.
  5. La acción predeterminada para un objeto sospechoso: moverlo a la cuarentena. Si no, no será posible analizar el archivo.
  6. Antes de curar los sistemas importantes, hay que hacer un backup.
  7. No se puede confiar en los suministradores si los mismos solo hablan de algo.
  8. Al surgir un problema similar al detectado en la edición, contacte con nosotros.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios