Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/10/2012
Virus 5N (5 de Novembre)
Un nou virus denominat 5N podria dur a terme accions danyoses en els equips infectats per a, entre altres coses, recopilar informació o impedir la seua utilització a partir de dilluns que ve 5 de novembre.El virus és capaç de reproduir-se a través de dispositius extraïbles (llapis de memòria, discos durs externs, etc.) i pot així infectar aquells equips en què es connecta el dispositiu extraïble. Una vegada infectat l’equip, el virus modifica la seua configuració (el registre de Windows) per a garantir-hi la seua permanència. A més, també és capaç de recopilar informació sobre l’ordinador compromés (com per exemple el nom, la data actual, etc.) per a enviar-la posteriorment a servidors remots.
En el cas de connectar un dispositiu extraïble en un ordinador infectat (per exemple, un USB d’emmagatzematge), el virus l'infectarà. Per a això, marcarà totes les carpetes que trobe en el directori arrel del dispositiu com a ocultes a fi que no siguen visibles per a l’usuari. A més, crearà tantes còpies de si mateix com carpetes haja trobat mantenint el nom de les originals. D’esta manera quan un usuari connecte un dispositiu USB infectat en el seu ordinador no veurà les carpetes originals sinó les carpetes generades pel virus. Estes carpetes són realment una còpia del virus (un fitxer executable) de manera que quan es faça clic en alguna d’estes per a veure el contingut, el virus infectarà l’equip de forma totalment transparent a l’usuari. A més, per a evitar sospites, una vegada que l’usuari faça clic en la carpeta falsa, el virus mostrarà el contingut del directori legítim.
Quan el virus detecte la data del 5 de novembre mostrarà multitud de botons d’apagada en punts aleatoris de la pantalla de manera que si l’usuari polsa en algun d’estos l’equip s’apaga. El virus també pot modificar el fons d’escriptori així com generar l’obertura de la unitat de CD-ROM/DVD.
És important destacar que el virus 5N no era detectat per la major part de cases antivirus en el moment de la seua detecció i anàlisi, per la qual cosa un equip amb un antivirus actualitzat podria no haver detectat la seua infecció en l’equip.
Sistemes Afectats:
Tots els equips Windows.
Referències:None
Solució:Per a detectar si un equip es troba infectat per a un usuari concret, bastaria d’iniciar sessió amb el mateix usuari i polsar les tecles "Shift" + "Ctrl" + "Alt" + "F7" i comprovar si apareix una finestra que sol·licita contrasenya. Esta finestra és invocada pel mateix virus i permet introduir una contrasenya per a detindre les accions d'este en el sistema. En el cas d’introduir una contrasenya incorrecta 3 vegades procedix a apagar l’equip.
Per tant, si es mostra esta finestra a l’hora de polsar la combinació de tecles descrita anteriorment, són símptomes d’infecció.
Una altra opció per a detectar si el seu equip està infectat és iniciar la utilitat de símbol del sistema a (Inici > Executar > cmd) i executar les ordes següents:
-
dir %SystemDrive%\ /a /b /s | findstr -i drmvclt.exe
-
dir D:\ /a /b /s | findstr -i drmvclt.exe
El segon comandament caldrà executar-lo en el cas que l’ordinador tinga més d’una unitat: D:\, E:\, F:\, etc. Caldria canviar la lletra D:\ per la que corresponga.
En el cas de mostrar alguna eixida els comandaments anteriors, les quals es correspondrien amb les rutes en el sistema on es troba emmagatzemat el virus drmvclt.exe, s’hauran d’anotar estes per a posteriorment procedir a la seua eliminació.
Per a desinfectar l’equip i els possibles dispositius extraïbles infectats, consulteu l’entrada corresponent al virus 5N dins de la base de dades de Virus de INTECO-CERT.
Notes: