Cómo eliminar virus USB que oculta las carpetas / cómo evitar que nuevos virus infecten las memorias USB

4 marzo, 2013 — unrealmaverick

Nota aclaratoria: dado que en mi país se nombran a los pendrives o a las flash memory como memorias USB, me referiré así a las mismas, o simplemente USB para abreviar.

¿Por qué esta entrada? Bueno, comienzo preguntado, ¿cuántas veces no se les ha metido un bicho en la memoria por puro descuido del dueño de esa terminal, y más aún, este bicho ha desaparecido los archivos? Así comienza esta historia, con memorias infectadas. Siempre me ha parecido una falta de cuidado por parte de ciertos usuarios el mantenimiento de sus propios equipos, bien sea sus computadores, con la falsa seguridad de un antivirus que no les reporta o da cuenta del estado real del sistema, o bien sea sus propias memorias USB, con indiferencia de si está infectada y transmitiendo bichos por doquier. A esto ultimo, la brutal indiferencia con la que me he topado, con algunas personas que usan distros GNU/Linux o Mac OS X y decirles que la memoria que les voy a pasar esta limpia, responden “pero ese no es problema mío, a mi esos virus no me afectan” y al ver sus memorias en mi pc encontrar que estas estaban infectadas, y es indiferencia ya que si no los afecta, no se preocupan por no mantenerlas limpias y evitar más propagaciones. Se que no son todas las personas, pero, como dije, me he topado con varios de esos casos, incluyendo varios profesores/as.

Hace un par de semanas, en un computador de la fotocopiadora de medicina, mi novia insertó su USB para imprimir un informe, y, ¡sorpresa! se le prendieron más de 75 bichos, incluyendo bellezas como Conficker y Stuxnet (lo sé por el reporte de mi antivirus cuando la limpié), y al hacerles el comentario, la respuesta fue “eso no puede ser, tenemos X antivirus (de los gratuitos que es bueno), y el técnico la revisó hace poco, esta libre de virus, eso debio pegarsele en otro lugar y ahora viene a decir que fue culpa nuestra” ¿Cómo utas llegó Stuxnet a un computador sencillito que se usa solo para imprimir cosas? ¿a cuántas personas no se les habrá prendido todos o muchos de esos bichos? Me pasó algo similar cuando le di mi memoria a una persona que, la necesitaba para pasarme una info sumamente importante. Así, se la pasé, y cuando ya en mi casa la inserté, encontré que estaba infectada, habiéndose “eliminado” todas las carpetas y reemplazadas por accesos directos, lo mismo que con los ejecutables (eso mismo también le sucedió a mi novia  en lo que conté arriba). Esto es sumamente grave, teniendo en cuenta que en mi USB tengo, como ya verán, el hiren’s boot (como recordarán, además de mis cuestiones profesionales y académicas también le cacharreo a los computadores), por lo que es supremamente importante que esté limpia y libre de todo mal, y aunque solo tenia un bicho, igual estaba infectada y se hicieron modificaciones a mis archivos. Ahora les mostraré, con mi propia experiencia, cómo eliminar este molesto virus, recuperando todos los archivos y carpetas desaparecidas, y a continuación cómo inmunizar la USB para que no vuelva a pasar esto.

Al insertar la memoria, antes que nada, hay que desinfectarla con nuestra solución antivirus. Al ingresar al explorador de archivos, como pueden ver, aparecen todas las carpetas (exceptuando las que me pasaron la info) como si fuesen accesos directos, y todas con fecha de modificación el instante en que el bicho se metió. Así, oprimí “alt” para que aparezca la barra de menú, y allí a “Herramientas”, y luego fui a “Opciones de carpeta…”

Al hacer esto, se  despliega una nueva ventana

Vamos a la pestaña “Ver”, y allí seleccionamos “Mostrar archivos, carpetas y unidades ocultas”, y más abajo deseleccionamos “Ocultar archivos protegidos del sistema operativo (recomendado)” y, esto es ABSOLUTAMENTE NECESARIO para algo que vamos a hacer más adelante, también deseleccionamos “Ocultar las extensiones de archivo para tipos de archivos conocidos”. Particularmente yo ya tengo esa opción sin seleccionar, porque quiero ver todas las extensiones, pero muchas personas no saben de la opción, y no los ven, teniendo en cuenta que por defecto viene seleccionada. Al darle “Aplicar”, les saldrá una advertencia, sobre mostrar los archivos protegidos, denle que sí.

Ahora, vemos que en la carpeta aparecen todas las carpetas y archivos que se creian perdidos. Como dije antes, esta es la prueba, no estaban “eliminados”, solo ocultos a nuestra vista.

Si damos clic alterno a una de las carpetas, veremos de sus atributos que sus propiedades son, ser una carpeta de solo lectura, y, la propiedad de ser una carpeta oculta y de sistema (no la podremos modificar). La forma larga de recuperar las carpetas es, crear nuevas, eliminar las antiguas, y pasar los archivos, pero la forma como les diré es mucho más fácil y rápida. 

Lo que haremos a continuación es seleccionar todos los accesos directos, así como ejecutables y carpetas que no nos sean usuales o hayamos creado (en este caso se aprecia la carpeta RECYCLER) y los eliminamos.

Una vez eliminados, vamos al Símbolo del Sistema, por cualquiera de los siguientes métodos: Vamos al menú Inicio, Todos los programas, accesorios, herramientas de sistema, o simplemente oprimimos la tecla Win + R y en el cuadro de texto escribimos cmd, o más simple y rápido aún, oprimimos la tecla Win, y al aparecer el menú Inicio, escribimos cmd.

 

Entonces se nos abrirá una nueva ventana, que es muy similar a lo que era el MS-DOS, vamos a la letra de unidad (en este caso la letra I), y escribimos el comando ATTRIB, de forma como describo a continuación (ponemos lo que esta en cursiva; en negrilla es lo que ya aparece en letra blanca y no debemos escribirlo):

C:\>Users\miusuario>I:

I:\>attrib –s –h /s /d

 

Al escribir esto, pasan unos pocos segundos, cuando salga de nuevo la letra de unidad (insisto, en este caso es la I, depende de cuáles dispositivos tengan puede variar ente D y J, varia de PC a PC), entonces minimizamos el Símbolo del Sistema, y al abrir de nuevo la USB desde el explorador de archivos, veremos que todos los archivos y carpetas han aparecido donde deberían estar.

La explicación de lo que hicimos es la siguiente: el comando ATTRIB se usa para cambiar los atributos de los archivos, al escribir –s y –h indicamos que queremos quitarles las propiedades de archivos de sistema (s) y ocultos (h) a todos los archivos, carpetas y subcarpetas que tengan esas propiedades (/s /d).

Ahora procederemos a inmunizar la USB, para que no vuelvan a pasar estos incidentes. Creamos una carpeta nueva en el escritorio, que podamos eliminar facilmente despues, y creamos adentro una nueva carpeta.

Esta nueva carpeta que acabamos de crear la renombraremos Autorun.inf. Debe quedar así:

Ahora, daremos clic alterno en el fondo blanco y seleccionamos “Nuevo” > “Documento de texto”:

Vamos a crear 3 archivos de texto:

 

Los vamos a renombrar como DRIVER, RECYCLER y RESTORE.

Ahora debemos eliminar la extensión .txt de los archivos de texto, para que queden como archivos nada más. Por eso decía antes que era importante que pudiéramos ver las extensiones de archivo, si no la vemos debemos ir a las opciones de carpeta y habilitar poder verlas. Al momento de eliminar la extensión saldrá una advertencia si deseamos eliminar la extensión, le decimos que sí. Así, ahora tenemos 4 archivos en nuestra carpeta: Autorun.inf, DRIVER, RECYCLER y RESTORE.

Lo siguiente es copiar los 4 elementos a la carpeta raíz de la USB.

Si hay un archivo llamado Autorun.inf en el directorio raíz de la USB, saldrá un aviso de error diciendo que el archivo ya existe, y que le es imposible reemplazar. Lo que se hace es eliminar el archivo de la USB, y a continuación, volver a copiar nuestro archivo. Ahora, vamos a cambiar los atributos de estos 4 elementos, no con el clic alterno sobre estos, ya que esos atributos se pueden cambiar…

Por tal motivo vamos de nuevo al Simbolo de Sistema, ingresamos de nuevo a la memoria y escribimos lo siguiente (teniendo de nuevo en cuenta, la letra de mi USB es I, pero esto varia de PC en PC):

C:\>Users\miusuario>I:

I:\>attrib autorun.inf  +r +s +h

I:\>attrib driver +r +s +h

I:\>attrib recycler +r +s +h

I:\>attrib restore +r +s +h

Los archivos ahora deben verse así

Ahora, solo queda, entrar de nuevo en las opciones de carpeta, y en la pestaña “ver” seleccionamos “NO mostrar archivos, carpetas y unidades ocultas”, “Ocultar archivos

protegidos del sistema operativo (recomendado)”, y dependiendo de las preferencias de cada quien, si quieren o no seguir viendo las extensiones, “Ocultar las extensiones de archivo para tipos de archivos conocidos”. Las dos primeras opciones DEBEN por seguridad quedar seleccionadas, la última es según cada quien quiera.

¿Cómo se cuela un malware en la USB? Empecemos con RECYCLER: el computador infectado crea esta carpeta, y en ella crea una carpeta adicional llamada S-1-5-21-1482476501-1644491937-682003330-1013, dentro de esta generará un archivo Desktop.ini el cual, por un lado, le dará a su carpeta el icono de la Papelera de Reciclaje, pero además, contiene la línea [.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E} la cual hace que al hacer doble clic en ella se abra la propia Papelera, ocultando así el archivo infeccioso ejecutable que contaminará el computador donde se inserte. Algo similar ocurre con las carpetas DRIVER y RESTORE, aunque también pueden haber otras carpetas problemáticas creadas para alojar y ocultar el ejecutable.

En el caso del autorun, este archivo incluye instrucciones de ejecución (se que abra un programa determinado, o que se muestre un icono en particular, de hecho, sí se fijaron en las imágenes, mi USB al principio aparecía como Hiren’s BootCD y con un icono del programa, después de reemplazar el archivo aparece simplemente como disco extraible, con el icono por defecto para estas unidades extraibles), y si bien este archivo no tiene problemas inicialmente, es usado por los virus para incluir las instrucciones de propagación, reemplazando con estas las originales de lo que debe ejecutarse o mostrarse. Es decir, incluyen la instrucción de ejecutar el programa escondido en la carpeta RECYCLER de forma automática, cosa bastante problemática en Win XP, pero minimizada en Win 7, por lo que este ultimo SO es más resistente a que se le active el archivo de malware de esta forma; aún así, una buena solución antivirus debería ser capaz de identificar y detener el ataque cuando ocurre de esta forma.

Cuando el o los malwares que se instalan en la USB ocultan archivos y carpetas reemplazándolas por accesos directos, como me pasó en la descripción arriba en esta entrada, lo que buscan es que las personas hagan clic en los accesos directos creyendo que son sus archivos, activando el ejecutable y las instrucciones de instalación y apropiación del sistema.

Lo que hicimos con los 4 elementos fue, crear archivos falsos. Esto es, una carpeta en vez de un archivo (autorun.inf) y un archivo en vez de una carpeta (RECYCLER y compañía), de forma que, como en el caso del error, no se pueda reemplazar. Esto es, no puede haber en la misma ubicación una carpeta y un archivo con el mismo nombre, por tanto el malware no podrá copiar y reemplazar nuestros archivos preparados, como sí reemplaza un archivo autorun.inf genérico o de fabrica que incluya la USB. Además, en la utilización del comando ATTRIB lo que estamos haciendo al escribir +r +s y +d es indicarle que al archivo mencionado en ese momento queremos darle las propiedades de archivo oculto (r), archivos de sistema (s) y ocultos (h), de esta forma nosotros no vamos a ver estos archivos cuando usemos nuestra memoria, y tendrá una dificultad adicional para ser cambiado el archivo por una carpeta que aloje el archivo infectado.