sábado, septiembre 23, 2006

Virus en memorias USB

El otro dia estaba en la universidad y mi memoria USB fue victima de terrorismo. Resulta que unos chinos o japoneses han creado un virus que hace precisamente eso, infectar las memorias USB.

No se el nombre exacto del virus, no se ni siquiera que hace, pero cuando vi que no podia sacar la memoria con seguridad (la luz no dejaba de palpitar) me fui enterando de que pasaba y decidi que al llegar a mi casa la proparia en mi pc.

Bueno, llegue a mi casa y con mis mejores armas Zone Alarm y Norton Antivirus (ojo, dije mis mejores armas, seguro algunos no creen en la eficiencia de estos programas pero yo si).

En la USB se almacena un archivo llamado xsx.exe que intenta ejecutarse a la hora de abrir la usb, total el Zone Alarm me pregunto si deseaba ejecutarlo, luego de mi respuesta negativa este intento ejecutar aplicaciones del sistema, intento copiar archivos en el system32, etc. y el norton al mismo momento me aviso del virus.

Norton & Zone Alarm son partes principales de mi navaja suiza ;-)

La solucion

Abrir msdos

1 - posicionarse en la unidad usb con el comando C:/> letra:
Ejemplo E:
2 - Dir
3 - DEL sxs.exe
debes ademas editar el autorun.inf que es desde donde se carga el sxs.exe o simplemente lo borras si asi lo deseas y luego te creas otro si es que este te esta sirviendo para ejecutar algun adorno o cualquier cosa.

saludos

22 comentarios:

Anónimo dijo...

Buen dia, estimado publicador, en tu nota, al inciar el 4to parrafo escribiste "En la USB se almacena un archivo llamado xsx.exe..." yo tambien fui infectado con este archivo pero el nombre es SXS.EXE y se presenta de manera oculta, asi que si el usuario no tiene habilitada la vista de archivos ocultos, por explorardor de windows no lo visualizara. Solo eso quiero comentar. Y muchas gracias por la informacion, me resulto sumamente util.

Sergio P dijo...

Tienes razón. Ya me paso y ni siquiera me dì cuenta, ya que pensé que esos archivos se habian copiado por insertarlo en alguna computadora y que esta poseia algun programa de sincronización de archivos.

Como siempre tengo visible los archivos acultos, de sistema y las extensiones, un dìa noté que algo era diferente, ajá!!!!: dos archivos nuevos. sxs.exe y autorun.ini

Advierto que Karpesky no lo detectó como virus, tenia yo unos 18 días sin actualizar las bases.

Por pura intuición borré en .exe y le heche una miradita al .ini:
[Autorun]
open=sxs.exe
otraCosaQueNoMeAcuerdo

Si tuve un problema en una ocasiòn al conectar mi USB (un disco portatil) al laptop: Tardó muchisimo en abrir la unidad. Fuera de eso no noté nada más.

Williams Molina dijo...

Puff, perdon, que error!! en realidad es el archivo SXS.EXE tal y como tu dices, no es el XSX.EXE, fue un error de digitacion de mi parte!

saludos

Anónimo dijo...

Primero darte las gracias por intentar ayudar pero segundo no haces nada con lo que tu publicas.
Disculpame pero me parece antietico lo que tu estas publicando, porque no hay soluciones.
como borrar de la flah
abre la lines de comandos
te pocesionas soble la unidad
ejemplo e:
mostrar archivos ocultos
e:\>dir /A
e:\>attrib sxs.exe -s -h
e:\>attrib autorun.inf -s -h
e:\>del sxs.exe
e:\>del autorun.inf
con estos pasos solo eliminas de tu flash,pero no de tu sistema y de verdad son buenas armas norton y ZonAlarm pero no las mejores
el resto como eliminar del sistema de los dejos para ustedes que investiguen ok
Por cierto este troyano bloquea la visivilidad de los archivos ocultos de tu sistema ahi hay un reto para eliminar no crees....
saludos
anonimo por esta vez.

Williams Molina dijo...

Hola

Bueno, si tienes razon en lo que dices ya que solo doy la solucion para la memoria y fue asi porque no conozco una manera fidedigna/tecnica de quitarlo del sistema. Yo lo que hago es borrar el archivo SVOHOST.EXE de /system32/ y me funciona pero no garantizo que eso lo solucione al 100%.

Otro detalle, me causa admiracion que hables de etica y a la vez aseguras sabes la solucion y no la compartes :S pero bueno, tu sabras porque lo haces xD.

Y si no te gusta el ZA o el Norton pos no los uses jeje.

Saludos

Anónimo dijo...

Y como se llama ese trojano???

Anónimo dijo...

muy bien pero el mejor antivirus y si kieres deberias probarlo es el avast, el norton deja muchos virus sin nisikiera reconocerlos, el avast inclusive te da la opcion de cambiar la extencion del archivo para evitar su ejecucion en caso de que este te impida que lo elimines

Anónimo dijo...

Hola a todos.

Pues hay un nuevo virusillo por ahì que te oculta todos los archivos de la memoria USB. No se pueden ver ni aunque habilites verlos en windows. Tampoco se ven en MS-Dos y el antivirus no explora ningun archivo puesto que "no hay" archivos en la unidad. Sin embargo al ver las propiedades muestra el espacio utilizado en la unidad por esos archivos.
Si alguien tiene idea de como solucionarlo (si formatear claro) se lo agradecerè.

LPG dijo...

a mi me parecio xvr la informacion, es mas me saca de apuros, el exe taba eliminado pero convivia con el autorun editado y yo sin saberlo XD, tuve el mismo problema de las carpetas ocultas pero un format y ya ps solucionado... y ps hasta ahora k yo sepa no se ha compartido informacion alguna de como eliminar este virus cuando ya infecto una pc... eso es todo gracias otra vez.
Y pa la gente k piensa decir algo o criticar algun punto a otra persona no lo hace anonimamente deja mucho que desear.

>Luis.

LPG dijo...

Bueno ps señores aqui encontre una solucion de como eliminar este virus completamente de su pc, el MisMaSxs, weno ps a los que no pueden entrar a sus unidades de disco dando doble-click esta es la solucion perfecta espero les sirva:
http://rapidshare.com/files/805522/MismaSXS.rar.html
de pasada si tienes usb conectados con el virus lo elimina definitivamente de tu USB.

>Luis.

Anónimo dijo...

Efectivamente esta es la solucion en hora buena
http://rapidshare.com/files/805522/MismaSXS.rar.html

Anónimo dijo...

BUeno pero esa ultima utilidad como se pone a trabajar?

Anónimo dijo...

Bueno soy nuevo por aquiy estoy analizando sus posibles soluciones.

Y como algo informativo hay un par de troyanosque son algo molestos el primero ZAYLE es algo bulnerable y fasil de eliminar pero cuando se junta con un mentado VIDEO.PIF son difisiles de eliminar ya que te desavilita (inicio buscar, ejecutar, opciones de carpetas, administrador de tareas) y en base con los contactos que tengan en outlook se reenvia solo y la memoria se infecta al ser conectada en el equipo infectado para que tengan cuidado si les yeaga algun video de alguno de sus contactos

A todos los antivirus suelen fallar incluyendo avast aun no pueden con el de video.pif sin SAYLE y se los digo por que e probado(Norton,Simantec,Panda,Kaspersky,avast y no recuerdo otros)

por sierto cada dia 15 estos troyanos cambian extensiones (.doc, .exe, .ppt, eimagenes)

dudas o posible soluciones
terco_emc@hotmail.com

no es que no lo quiera pasar si no que es un programita y no veo donde adjuntarlo

TERCO EMC

Anónimo dijo...

bueno Sres luego de leer y buscar informacion en internet sobre unos archivos auto.exe y autorun.inf y la manera de eliminarlos lamento mucho decir q no pude eliminarlos ya q no los pude localizar ni quitando los atributos de oculto por D.O.S me dice q no los puede borrar q el archivo no se encuentra pero haciendo un Dir /a los llego a vizualisar pero no me deja eliminarlos asi q no me quedo otra q formatear :( maldito virus y para colmo se copia en todas las particiones y no me deja abrirlas porq las coloca en auto bueno no me quedo otra q formatear salve mis archivos en otro disco duro al cual le estoy pasando el the haker 6.2 actualizado si a alguien le paso lo mismo y logro eliminarlo espero su respuesta por si las moscas no vaya hacer q nuevamente me ataque buuu :( bye

Anónimo dijo...

dises que es facil eliminar el sayle pero no dices como :porfas dime como lo elimino manualmente, sin utilizar antivirus

Anónimo dijo...

dises que es facil eliminar el sayle pero no dices como :porfas dime como lo elimino manualmente, sin utilizar antivirus

Anónimo dijo...

Un saludo a todos pues el programa Missmas que recomiendan no funciona para los problemas del Autorun.ini o el Avo.exe por otro lado tuve la oportunidad de probar el Flash Disinfector que en cuanto lo ejecute, y sin reiniciar ni siquiera la PC, pude volver a visualizar el contenido de los discos duros y de mi memoria Flash, realmente parece funcionar bien.... suerte con eso

Luis Chavez dijo...

Bueno de antemano gracias a todos por sus comentarios. les platicare lo que yo hice, desde winXP entre al cmd.exe y ahi desde a la unidad E: (memoria usb) puse el dir/a me mostro los archivos y en la siguiente linea puse el comando cd archivo_oculto y copie todos mis archivos al disco local c: (E:archivo_oculto/ copy *.* c:temp), fue algo tardado por que tuve que entrar a todos los directorios y subdirectorios para salvar mi informacion pero al final todo salio muy bien. al final formatie la memoria usb para eliminar el virus y ya... no encontre una forma de eliminar el virus con un antivirus o por codigo pero rescate mi informacion.

Saludos.

Anónimo dijo...

Hola a todos:

Lo que susede y quiciera que me ayuden si es posible es:
mi memoria es reconicida en el sistema como memory bar o algo asi y ademas no me deja entrar a a la unidad para ver mis archivos y me sale un mensaje diciendome que la unidad no tiene formato, quiere darle formato ahora?.

Bueno este es mi problema espero que me puedan ayudar muchas gracias.

Anónimo dijo...

aqui les dejo una web con varios programas de seguridad gratis(sin pagar nada y para toda la vida)y en español, con descargas directas desde las web oficial www.mousered.com

jorge c. torres dijo...

aqui la solucion para desinfectar y ver de nuevo tus archivos:

http://mercadodesoluciones.blogspot.com/2008/07/archivos-ocultos-en-memoria-usb-or-any.html

Anónimo dijo...

Hola tengo una memoria USB de 2 GB marca KINGSTON lo puse en una maquina y la informacion me salio bien, la quite y la volvi a poner y el 80% de la informacion quedo como en chino y el resto la pude salvar, cuando puse esta en mi maquina al principio me bloqueaba el mouse entonces reiniciaba windows claro esta quitaba el USB por seguridad, mi pregunta es si yo puedo recuperar la informacion que ahi tenia, pase todos los antivirus y me encontro algo de virus y los saco pero el problema de los archivos en chino no me los paso a español otra vez a las carpetas estan en blanco, no encontre bajo ningun modo los archivos mencionados como el sxs.exe ni el autorun.ini, trate de instalar http://rapidshare.com/files/805522/MismaSXS.rar.html pero me fue imposible el antivirus NOD32 me lo detecta como virus y ni siquiera me deja vajarlo agradecere mucho si alguien me puede ayudar, saludos