Win32/VB: Una familia que sabe esconderse (II)

En la primera parte de esta entrega, hemos comentado sobre el gusano Win32/VB.[variante], un código malicioso que oculta archivos y carpetas legítimos y los reemplaza por ejecutables maliciosos.

Además de realizar esta acción maliciosa (ocultar archivos o carpetas), este malware posee muchas instrucciones para dificultar que el usuario pueda recuperar dichos archivos. Estas acciones, son extremadamente molestas para los usuarios que han sido infectados y, muchos sin conocimientos técnicos, suelen pensar que sus archivos se han perdido y formatean la unidad en la que estaban alojados.

Recuerden, lo más importante en materia de protección es la prevención. Sin embargo, si se han infectado, les dejo aquí un resumen de las principales modificaciones que hace esta familia de gusanos en el sistema, y la clave del registro de Windows que es afectada:

1. Elimina la opción de ver las opciones de configuración de las carpetas. Esta característica es claramente una dificultad para recuperar los archivos que se han ocultado:

Clave del registro afectada: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorerNoFolderOptions

2. Deshabilita el acceso a la administración gráfica del registro. Este paso es fundamental, ya que dificulta la remediación del resto de las modificaciones, para aquellos usuarios sin conocimientos de otras vías de editar el registro.

Clave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools

3. Deshabilita el administrador de tareas. Esto evita que se vean los procesos en ejecución, y también dificulta la detección del gusano.

Clave de registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskmgr

4. Deshabilita la opción de restaurar el sistema. De esta forma, el usuario no podrá volver a un estado anterior del sistema desinfectado.

Clave del registro: HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTSystemRestoreDisableSR

5. Deshabilita la línea de comandos (cmd.exe)

Clave del registro: HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsSystemDisableCMD

6. Deshabilita la administración de usuario en el Panel de Control. De esta forma, el usuario no podrá crear otra cuenta administrativa en el sistema.

Clave del registro: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowCpl

Otras claves del registro que son afectadas por algunas variantes son:

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden: oculta los archivos ocultos
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt: oculta las extensiones de los archivos
  • KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerHideClock: oculta el reloj del sistema
  • KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoFind: deshabilita el botón de buscar
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoClose: deshabilita el botón de apagar el sistema
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun: deshabilita la ejecución de ciertos comandos

Como verán, esta familia de gusanos posee todas las instrucciones para molestar al usuario. Recuerden la importancia de contar con una solución ante códigos maliciosos como ESET NOD32, de forma tal de prevenir la infección, y no tener que utilizar nunca la información que describimos en este post.

Importante: la manipulación del registro de Windows debe ser realizada por usuarios con conocimientos del mismo, ya que su incorrecta modificación puede afectar la funcionalidad del sistema operativo.

Sebastián

Autor , ESET

  • Gracias por la información, hace un tiempo me ocurrio de le “opciones de carpeta” y “administrador de tares” y no sabia q era hasta que por fin se me ocurrio instalar un antivirus diferenete y logro encontrar este gusano.
    Nuevamente gracias por la información

  • Pingback: ESET Latinoamérica – Laboratorio » Blog Archive » Win32/VB: Una familia que sabe esconderse()

  • joel

    Muchas gracias por esta informacion.

  • hallan

    una pregunta no puedo abrir el editor de registro y no se si es por el virus ya que yo tengo el eset smart security 4 y me dice que no hay nada y lo tengo con licencia y actualizado, si no hay virus ¿como puedo activar el editor del registro?

    • Hola hallan,

      La clave que controla el acceso al “regedit” es la siguiente: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableRegistryTools.

      Debes ponerla en valor 0, sea a través de comandos o cualquier otro editor de registro que no sea el “regedit”.

      Sebastián

  • hallan

    gracias lo pude hacer con el tuneup

Síguenos