Zayle, el gusano enamorado

En los últimos meses se han reportado varios casos de malware que aprovechan los dispositivos USB para diseminar e infectar con su código malicioso.

Uno de ellos es el detectado por ESET NOD32 bajo el nombre de Win32/AutoRun.C, un gusano de Internet creado con el lenguaje de programación Microsoft Visual Basic 6.0 con capacidad de infectar dispositivos USB propagándose a través de los mismos.

Para lograrlo, copia en la raíz de estos dispositivos y de los discos locales, los siguientes archivos: “crsvc.exe” con un peso de 48 Kb y “autorun.inf” de 10 Kb en forma oculta y levanta en el sistema un proceso llamado “crsvc”.

Desde ese momento, cada unidad de almacenamiento extraíble que se inserte en los puertos USB de la computadora comprometida será infectada con una copia del gusano.

Como es común en los distintos tipos de malware, intenta asegurar que su proceso se levante en cada inicio del sistema, para lo cual manipula la clave “run” del registro apuntándola al archivo copiado en la raíz del disco X:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionrun
Syslog C:crsvc.exe

Registro, proceso y copia del malware

Al momento de copiarse a los dispositivos, el malware verifica la existencia de los procesos “KofcpfwSvcs.exe” y “OfcpfwSvcs.exe” pertenecientes al troyano Win32/PcClient.WJ, si existen los termina, de igual manera que termina el proceso “explorer.exe” del explorador de Window. Inmediatamente después, vuelve a levantar el proceso “explorer.exe” para infectar el dispositivo insertado.

Además, deshabilita la opción de abrir las unidades con doble clic, tanto en las locales como en las extraíbles y en el submenú del botón derecho del Mouse crea una opción llamada “ZAYLE” cuyo efecto al ingresar a él, es equivalente a hacer doble clic directamente sobre el ejecutable del malware.

Opción creada por el malware

En el código del gusano se pueden leer las leyendas “Zarteck” y “LETZEL TE AMO” y hasta el nombre de la carpeta de trabajo del programador del código: ProjectosVirus auto3.0Virus.vbp. Y el archivo “autorun.inf” contiene las siguientes imágenes en código ASCII.

Dibujos en código ASCII

Si bien este malware no posee algún componente innovador en su código, ya que para lograr su objetivo recurre a técnicas comunes utilizadas por la mayoría de los códigos maliciosos, no deja de ser una amenaza para los dispositivos USB que se están convirtiendo en un estádandar a la hora de transportar información.

Jorge

Autor , ESET

  • ISAAC

    hola leí el artículo gracias por la información, desafortunadamente para mi tengo el gusano zayle que esta en mi maquinita y no he podido quitarlo creo que no existe algún antivirus que lo elimine ¿cierto? bien tengo mas dudas cómo, si no hay algún antivirus entonces una vez que lo quite y vuelva a meter mi memoria usb estará infectada pues la estuve usando mientras tenía este virus como limpio mi memoria además uso programas donde de igual manera utilizo un candado de ejecucion en usb como limpio todo esto, ojalá me puedan ayudar, muchas gracias.

  • Hola Isaac, gracias por tu consulta
    Te comento que Zayle efectivamente es detectado y eliminado por ESET NOD32 sin problemas. Con respecto a tu otra consulta del USB lo que debes hacer es scanear todas tus unidades de disco (incluídos los USB) e eliminar el programa dañinos de todas las unidades.
    Con esto evitaras posteriores infecciones.

    Cristian

  • Esteban

    Comento que vi las imagenes de codigo acii desde el codigo original y es sorprendente.

  • Jose Luis

    hola ¿Es posible que un celular se infecte con este malware?
    realice un escaneo a la memoria y aparecio esto:
    K:infrom.exe – probably unknown NewHeur-PE Virus
    K:h.cmd – win32/PSW.OnLineGames.NLI Trojan
    K:ms.configldup.exe – Win32/Shipup.NAB trojan
    K:MSOCachedoWTP_RESTORE.exe – Win32/PSW.Delf. WB trojan
    K:RECYCLERRECYCLERautorun.exe – Win32/PcClient.WJ trojan

    no veo la opcion de desinfectar ¿Como puedo limpiar la memoria del cel y la tarjeta de memoria?

  • Hola Jose Luis:
    No, no es posible que el celular se infecte con ese malware. En cambio sí es posible que se infecte la memoria del mismo debido a que sus características son las mismas que cualquier otra memoria, como la del USB por ejemplo.
    Con respecto a la desinfección, la misma se realiza eliminando los archivos mencionados debido que al ser un troyano y no infectar ni modificar otros archivos, con eliminar la amenaza es suficiente.

    Cristian

  • Alan Pérez

    Mi computadora tiene este virus, Eset Nod32 lo detecta pero sólo lo pone en cuarentena; cuando lo elimino vuelve a salir en poco tiempo; haya un mensaje constante en la barra de tareas, no lo he podido eliminar aun cuando baje su version de prueba de nod32

  • Jorge Mieres

    Hola Alan, en primer lugar te cuento que todos los archivos que son detectados como maliciosos por ESET NOD32 son enviados a cuarentena, la ventaja de esto es que si por algún motivo desearas recuperar alguno de esos archivos lo podrías hacer fácilmente.

    Por otro lado, para evitar que ESET NOD32 vuelva a alertarte sobre el gusano, deberías deshabilitar la opción de “Restaurar sistema”.

    Cualquier cosa contanos como te fue.

    Saludos.-

  • Pingback: AutorunKiller v2, Elimina el Virus Win32.Autorun.c « Mx Revolutions()

  • fernanda

    yo tengo el antivirus NOD32 y me aparece q tengo un probable virus newheur en los archivos de : System volume information, necesito que me digan como puedo eliminar ese virus por favor,, porque el acceso a esos archivos se que es imposible. yo quiero saber si se puede eliminar de alguna forma.. muchas graciass..

  • Estimada Fernanda,
    en principio, si el antivirus detecta la amenaza por heurística quedate tranquila que se encuentra controlada y seguramente lo elimina.

    Ahora, si el archivo es detectado cada vez que reinicias el equipo, lo más probable es que tengas que deshabilitar la opción de restauración del sistema haciendo clic derecho sobre el icono de “Mi PC”, elegir propiedades y seleccionar la solapa “Restaurar sistema”, en ella encontraras la opción “Desactivar restaurar sistema en todas las unidades”. Debes tildarla.

    En caso de que no utilices ESET NOD32, te invito a que lo pruebes descargando una versión de evalución de ESET NOD32, o realices una exploración en línea con ESET Online Scanner.

    Saludos.-

  • car534

    tuve un inconveniente con un cafe internet en el cual tenian un tarificador llamado twin de ofitools.com pues despues de actualizar el NOD32 y escanear la maquina me aparecio un mensaje que habia una posible variante de NewHeur-PE, al eliminarlo el programa perdio archivos importantes, llame al tecnico y me dijo que le desactivara las opciones heuristicas al antivirus y que lo reintalara, asi lo hice y al realizar nuevamente el escaneo me aparece que esta en la memoria operativa, me gustaria saber si es en realidad una variante de NewHeur-PE y si corren peligro los dispositivos extraibles que pueden utilizar en el cafe internet los clientes y tambien mi informacion.
    gracias,
    caro

  • Hoal Car534:

    La detección de “probablemente desconocido NewHeur_PE” no es la detección de un malware específico sino la detección heurística y una de las principales ventajas de ESET NOD32, capaz de detectar virus desconocidos hasta ese momento.

    Lamentablemente desmarcar esta opción y desinstalar el antivirus no es la mejor opción y puede ser el motivo por el cual ahora tienes un malware en memoria ya que estuviste cierto tiempo sin la mejor protección heurística de ESET.

    Cristian

  • Luis E.

    Mi NOD-32 reconoce el malware pero al darle desinfectar dice que ocurre un error y no lo puede eliminar, anticipadamente gracias por toda la ayuda que dan.

    Luis E.

  • Hola Luis E.

    Por favor puedes describir mejor el problema o el error que visualizas. Gracias.

    Cristian

  • Juan

    Hol, pasaba vi luz y subi ja..Sabes tengo esa porqueria del Win32/Autorun.if no se cuanto y el RECICLER los cuales me infectan mis dispositivos USB tanto el Pen como la micro SD del cel.
    Ahora me lo detecta el NOD32..(Bendito seasss)..Pero no ecuentro la raiz de todo esto como lo piyo y lo elimino de una vez y para siempre, porque la verdad que me aburrio desinfectarlo.
    Es conveniente instalar un antivirus en el dispostivo USB?
    Bueno solo espero que me puedas ayudar y sino gracias por el tiempo prestado.

  • raul

    hola.
    mi problema es parecido al del zayle, solo que en esta ocacion, se crea una carpeta en los discos duros llamada “imagenes”, la elimino y en segundos reaparece, y, siempre que aparece, el floppy hace un ruidito como si intentara leer un diskette, lo peor de todo, es que cuando ingreso las USB, se copia automaticamente.

    Tengo Nod-32, pero no lo elimina, detecta el archivo “crsvc.exe”, pero nada de nada, ahi sigue, ya lleva como un mes así.
    ¿Que puedo hacer?, gracias por todo.

  • Hola Raúl.
    Interpreto que ESET NOD32 detecta la amenaza pero no la elimina ¿es así? De todas formas te recomiendo que obtengas un archivo de registro generado con ESET SysInspector y nos lo envíes a blogs @ eset-la.com

    Si necesitas ayuda sobre cómo utilizar ESET SysInspector, te recomiendo la lectura de los siguientes post:
    http://blogs.eset-la.com/laboratorio/2008/01/16/eset-sysinspector/
    http://blogs.eset-la.com/laboratorio/2008/01/28/eset-sysinspector-generar-reportes-bajo-linea-comando/

    Saludos.

  • joel

    Hola amigos, al hacer una revision profunda a la maquina el nod32 me detecto esto:Se ha detectado infección con (Gusano de Internet) Win32/AutoRun.IRCBot.CX en la memoria operativa. La infección en la memoria operativa ha sido originada en el archivo C:WINDOWSafd.exe.

    POR FAVOR COMO HAGO PARA ELIMINARLO?

    • Hola Joel,

      Inicia en modo a prueba de fallos y realiza un scaneo completo de tu sistema, eliminando los archivos dañinos.

      Cristian

  • Ricardo M

    Hola.

    Muchas gracias de antemano por la atencion. Cuento con el antivirus Eset4 actualizado y toda la cosa, por que mi pc es servidor de una pequeña red, resulta que cada vez que le inserto cualquier dispositivo USB o tarjeta de memoria en cualquier puerto me avisa que hay un Objeto: G:/Autorun.inf y me especifica que el virus es Win32Autorun.IRCBot.CXgusano.

    Ya le he aplicado en varias ocasiones los analisis y todo lo que el menu del antivirus me lo permite pero no encuentro solucion a mi problema.

    Ojala y me pudan ayudar.

    Saludos

    • Hola Ricardo,

      Contacta al soporte técnico y podrán verificar qué está ocurriendo en tu sistema, aparentemente el gusano sigue intentando acceder a tu computadora.

      Sebastián

Síguenos