Bienvenido a Internet ★Móvil★ ■Volver al BBS■ Hilo completo ▼Bajar▼

un familiar compro un pendrive en la calle y tenia al menos 400 amenazas segun malware bytes (12 respuestas)

1 : root@bienvenidoainternet.org:~# : 01/12/18(sab)22:55:52 ID:9gCmFMU00 rep del

el paquete donde venia decía que incluía archivos para encriptar el pendrive con una contraseña

estos archivos eran una carpeta llamada "RECYCLER" y cuatro "copy of shortcut to (n)" (la n para no escribir 4 veces)

dentro de RECYCLER hay una sola carpeta llamada
"S-6-8-52-7707413627-2662043535-252341818-6217"
este subdirectorio trae muchos archivos .clp y .exe (los exe con el icono de carpeta de musica por algun motivo), todos con nombres de 9 letras mayusculas y minusculas, sin numeros o simbolos y sin patron aparente, no ejecute ninguno pero aun asi me infectaron.
https://imgur.com/a/000mEV9

si borras estos archivos SIEMPRE vuelven, no importa como los borres, lo feo es que si en el computador infectado introduces un pendrive limpio o un celuar estos tambien se infectan, en el caso del celular infecta solo la sd externa y los puedes borrar con el administrador de archivos y no vuelven, asi que asumo que no afecta a android.
ahora el pendrive limpio ahora tiene los mismos archivos y tampoco los puedes borrar, asi que no es alguna modificacion fisica del pendrive original.
por lo que he experimentado no añade estos archivos a discos duros externos pero si tienes un ejecutable infectado el antivirus de otros computadores saben que ese ejecutable es fraudulento

hasta ahora no se que hace pero he notado algunas caracteristicas, el virus infecta internet explorer y lo ejecuta al inicio de fondo (no se ve en la barra de tareas pero el administrador de tareas ve dos ejecutables) y a intervalos al azar intecta acceder a dos sitios, "rtvwerjyuver(.)com" y "supnewdmm(.)com", malware bytes me tira ventanas de esto a cada rato.
ademas de esto crea archivos que se llaman igual que el original pero al final dicen "mgr.exe", estos tambien usan el icono de carpeta de musica y ni siquiera son archivos invisibles, si usas un programa que chequea que todos los archivos sean originales para iniciar (normalmente programas con anticheat, antimod o anti pirateria) y borraste todos los mgr de antemano aun asi no va a iniciar, diciendo que tu programa esta modificado.

no importa cuantas veces corra el malware bytes no limpia el computador y el virus sigue haciendo de las suyas, tambien intente usar la demo de hitman pro y nada asi que me queda solo formatear como opcion.

¿que opinan de este virus?, ¿han escuchado de algo asi?, por lo menos yo he escuchado de pendrives que tienen virus pero no habia escuchado de virus que atacaran de esta forma un computador, si se les ocurre un nombre chistoso o tienen teorias (ya sea de que es lo que intenta hacer o como solucionarlo sin formatear) me gustaria leerlas

3 : root@bienvenidoainternet.org:~# : 01/12/18(sab)23:56:25 ID:???a rep del

Formatear con ceros (formateo lento o también llamado "completo")

Lo de arriba ww

4 : root@bienvenidoainternet.org:~# : 04/12/18(mar)01:45:04 ID:Geivpmru0 rep del

oye ese weon de >>2 su panacea es limpiar con diskpart pero si metes el pendrive limpio en el mismo computador se volveria a infectar o no?

5 : root@bienvenidoainternet.org:~# : 04/12/18(mar)01:51:43 ID:PPJM8Z5X0 rep del

Oh verdah, tendría que hacerlo en otro compu o en un live-cd (o un cd de inst. del Win)

Basta con que te bajes una iso del gparted o algo liviano, lubuntu o qué se yo (nanolinux en caso extremo, esa distro pesa 14 mb y formateé un PC ww)

6 : root@bienvenidoainternet.org:~# : 04/12/18(mar)09:38:15 ID:c9CGF0BY0! rep del

>>4
Pero si dijo que ya estaba infectado su PC po ww:
>no importa cuantas veces corra el malware bytes no limpia el computador y el virus sigue haciendo de las suyas, tambien intente usar la demo de hitman pro y nada asi que me queda solo formatear como opcion.

pero bueno, esta es la solución más puritana si quieres darte la paja:

Baja un iso de alguna distro de Linux como Parrot, Gparted, Arch, etc y quémala en un pendrive que no sea el pendrive que esté malo. No uses nano, puppy o alguna distro minimalista, porque no incluyen utilidades de manejo de disco. Bootealo, abre una terminal o un TTY (Ctrl+Alt+F2) y logeate como usuario root (la contraseña varía dependiendo de la distro). Después ejecuta:

fdisk -l (acá podrás determinar en qué punto está montado el pendrive malo, puedes diferenciarlo del pendrive de instalación por el tamaño)
shred -vzn 1 /dev/sdX (donde X es la partición donde está el pendrive malo, en tu caso *podría* ser sdc)

El proceso anterior va a demorar entre una y dos horas dependiendo del tamaño del pendrive. Cuando el proceso termine, reinicia el equipo y el pendrive va a estar como nuevo.

7 : root@bienvenidoainternet.org:~# : 09/01/19(mie)06:44:32 ID:bhvqNBW90 rep del

La solución es instalar gentoo

8 : root@bienvenidoainternet.org:~# : 09/01/19(mie)10:48:20 ID:1QY6QC/Ba rep del

La solución es dejar tu sistema en Read-Only en una partición USB con puppy linux (el slacko me cae mal),y montar otra en el mismo para la persistencia.

Aunque ve despidiéndote del USB en unos años... El uso constante del disco que hace el sistema de archivos va matándolo de a poco y a la larga. Sobretodo los que tienen journal (y por eso recomiendan ext3, el mal menor)

9 : root@bienvenidoainternet.org:~# : 09/01/19(mie)11:09:33 ID:???a rep del

>>8
De hecho, si dejas la partición RO como la primera, el Windows no leerá la segunda, y no se infectará el PC ni el USB. Lo mismo si la persistencia no es cualesquiera de los formatos compatibles con Win (ntfs, fat, exfat), del Win7 para abajo no lo leerá (desconozco para arriba).

Podrías probar ReactOs, también, falta poco para el Win7.

10 : root@bienvenidoainternet.org:~# : 09/01/19(mie)23:44:26 ID:Lkc0IDwP0 rep del

Hace años atrás lidié con el RECYCLER, este parece ser un caso similar. No recuerdo del todo el proceso completo para removerlo a mano pero tenías que modificar rápidamente una serie de propiedades y permisos de las carpetas infectadas para lograr eliminarlo y que no volviera. El método fácil también era instalar Kaspersky en modo de prueba para que barriera con todo.

11 : root@bienvenidoainternet.org:~# : 10/01/19(jue)00:05:00 ID:???0 rep del

OOOH LO HABÍA OLVIDADO POR COMPLETO. Yo igual tuve que lidiar con esa mierda, puta que huevié pa solucionar esa mierda.

12 : root@bienvenidoainternet.org:~# : 11/01/19(vie)00:11:22 ID:???a rep del

(Mientras tanto en *nix, un exploit pasado a backdoor spook-iano ataca....)
8 KB

Ver nuevos posts

Trampa:
Nombre: E-mail:

weabot.py ver 0.8.4 Bienvenido a Internet BBS/IB