Análisis de virus Script en Windows 7


 

entrada.001Desde hace algún tiempo comenzaron a aparecer virus que usaban la antigua tecnología de scripts de visual basic en windows para ejecutar su código, por lo que en este post analizaremos una variante que acabamos de encontrar en una portatil hace unos días. 


Como estos virus se distribuyen vía memorias USB, comenzaremos a analizar su actividad desde ese punto, igual que lo hacen los demás virus que emplean este medio, crea accesos directos y oculta todos nuestros archivos, pero con la diferencia, de que los archivos son movidos a una carpeta llamada trashes, cada acceso directo ejecuta a través del servicio wscript de microsoft un archivo js, que esta en una carpeta con un nombre formado por números ( cosa que puede cambiar en un futuro) dentro de la carpeta trashes, para que al recuperar sus archivos recupere una parte del virus.
En la computadora, el virus se protege bien, enviando una ventana de error cada que tratamos de instalar algún programa antimalware o algún programa que pueda modificar el inicio de windows como es el caso del ccleaner.

Para desactivar el virus es preferible hacerlo desde el modo a prueba de fallos o modo seguro, desde donde podremos usar le msconfig para desactivar la entrada que tiene en el inicio de windows, ahora bien, aunque en la entrada del inicio esta registrado el nombre de un archivo .vbs , no pudimos localizarlo en el disco duro.

Ya desactivado su inicio, como medida preventiva desactivamos el servicio wscript, para ello abrimos el administrador de tareas, y en su menú archivo usamos la opción de nueva tarea en la cual colocamos wscript, con ello se habré el panel de configuración del servicio, en donde indicamos que se desactive despues de 1 segundo, con lo que protegemos el equipo de futuras infecciones

Anuncios

Acerca de sistemasumma

Blog dedicado a la tecnología y a todos los estudiantes de sistemas, informatica, computación y afines
Esta entrada fue publicada en seguridad en redes informaticas y etiquetada , , , , , . Guarda el enlace permanente.

5 respuestas a Análisis de virus Script en Windows 7

  1. Pingback: Eliminar virus JSWorm que oculta archivos en las USB | Sistemasumma

  2. Anónimo dijo:

    Amigo muy buenas noches quiero compartir la siguiente informacion el virus si se encuentra dejame decirte su ubicacion .
    efectivamente te bloquea todo el virus
    Primero tienes que ir ala opcion de desocultar archivos
    Debes de ir al disco local C:
    Luego a la carpeta usuarios
    Luego en la carpeta del nombre del usuario
    luego a appdata
    Luego a roaming
    y en roaming vas a encontrar una carpeta que estaba oculta que tiene mas o menos letras asi
    xsadfcxs mas o menos y dentro de ella estan todos los archivos del virus que estan en proceso en el administrador de tareas.

    Para eliminarlo tienes que finalizar los procesos en el adm de tareas pero hay un proceso que cuando finalizes te va apagar la maquina.. lo que yo hago es descargar el Total Comander y con ese programa cambio los atributos de la carpeta con el virus y la elimino y reinicio por que aunque borres el virus de la USB y la metes en la computadora esta activo el proceso Script que va acompañado de otros con nombres de computadoras como hp jajaja se vuelve a infectar
    Espero y te ayude el dato saludos

    Me gusta

¿Qué estas pensando?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s