ELIMINAR VIRUS!!!

by DaGo at/on 16:36
in

ELIMINAR VIRUS AMVO.EXE



¿PROBLEMAS CON VIRUS EN LAS CARPETAS OCULTAS? ¿INTENTAS ABRIR TU MEMORIA USB O TUS PARTICIONES DE DISCO Y TE APARECE LA MOLEsTA VENTANA DE ABRIR CON...?



Ese problema lo causa un software malicioso llamado AMVO.exe y sus variantes como: avpo, n1detect etc.
Este virus se replica a través de unidades de almacenamiento USB usando el archivo Autorun.inf. Para los que no saben qué es el archivo autorun.inf: autorun es la habilidad de varios sistemas operativos para que se lleve a cabo una acción al insertar un medio removible como un CD, DVD o memorias USB. En el caso de las familia de S.O. de Microsoft si se desea realizar una acción automática al insertar un CD, DVD o memoria USB se debe crear un archivo autorun.inf en el directorio principal del disco o dispositivo de memoria USB hay que resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.

La estructura típica de un archivo autorun.inf es:
[Autorun]
Open=Nombre.extension
Label=Etiqueta_Unidad
icon=nombreicono.ico



En la sección Open se pone la ruta del archivo que se desea ejecutar, en el caso de este virus: en la sección Open llama a los siguientes archivos:

ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
uxde?ect.com

2. Entonces cuando se inserta una memoria USB y das en abrir la memoria para ver los archivos, este archivo Autorun.inf ejecuta los archivos mencionados. Debo resaltar que estos archivos están ocultos y con atributos de sistema y de sólo lectura, con esto evitan que se muestren a simple vista.
Una vez ejecutados los archivos mencionados, el virus crea una copia de sí mismo con los siguientes nombres de archivo:

C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll

Recalco que estos archivos también se crean con permisos de archivos de sistema y ocultos.
3.Luego, el virus procede a escribir en el registro un valor para asegurarse que cada vez que inicie Windows se cargue automáticamente el virus junto al Sistema Operativo. Esto lo logra escribiendo en el Registro del sistema lo siguiente:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
o
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe

4. Luego el virus empieza a infectar todas las unidades físicas del computador, creando en el directorio raíz de cada unidad el archivo autorun.inf y n1detect.com y nombres similares a los mostrados arriba. De este modo cuando el usuario haga doble click en Mi PC y luego abra sus unidades ya sean C, D, E, etc. Estarán repitiendo el proceso de infección. O sea estarán repitiendo el paso 1.

5. El virus también se asegura que el usuario no pueda ver los archivos ocultos del sistema de ningún modo. Esto lo logra escribiendo en el registro lo siguiente:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002

Como vemos este virus es bastante escurridiso e "ingenioso" pero no lo suficiente para no encontrar una solucion y poder eliminarlo.

Para ello he buscado y he modificado un Script para eliminar el virus "amvo.exe" y todas sus variantes de todos los medios locales y extraibles(USB) y se restura el registro de sistema para poder ver los archivos Ocultos.


DESCARGALO AQUI: Eliminar_amvo.exe


No hay comentarios:

Publicar un comentario


 
fineprint
(c) Redes y Mantenimiento · Using Blogger · Theme by EvanEckard · Blogger Template by