Virus SYMLOADER

Enviado: agosto 22nd, 2008 | Autor: | Guardado en: Math.random() | Etiquetas: , | 16 Comentarios »

El día de ayer me infecte con un Virus que se propaga por medio de los USB drive, tengo deshabilitado el Autorun en todas sus instancias por lo mismo, pero le de di dos click en lugar de explorar.

A simple vista cuando ves los contenidos del Drive no aparece ningún archivo sospechoso, el problema es que oculta los archivos como “Archivos de sistema”, el código general para lograr esto es:
[code lang="DOS" line="1"]attrib +h +s +r[/code]
Por lo tanto aunque tengas habilitado mostrar los Archivos Ocultos no lo veras…

En fin lo que hace este Virus creado en Delphi es deshabilitar el REGEDIT y el Administrador de Tareas, para lograr esto edita las siguientes llaves de registro
[code lang="reg" line="1"][HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000001[/code]
Crea una copia en C:\Windows\System32 con el nombre SYMLOADER.EXE, edita el archivos hosts (C:\WINDOWS\system32\drivers\etc\hosts) para deshabilitar el acceso a sitios populares de Antivirus o sites de update, después crea un thread (hilo para la bandita) en el proceso Explorer (explorer.exe), no confudir con el Internet Explorer… este thread trata de ejecutar una instancia del SYMLOADER cada 1-5 segundos, cada vez que corre edita las claves de registro que menciono arriba.

Durante la ejecución del SYMLOADER este utiliza el Process Tooltip para cerrar posibles instancias que puedan cerrar la aplicación, ejemplos de esto son el Taskbar, Regedit, Reg, MSCONFIG, etc., incluso aplicaciones third party como el Process Explorer, que identifique este ultimo realmente me tomo por sorpresa dado que demuestra que el dumbass que creo este virus no esta tan idiota… en fin he aquí como borrarlo.

Primero abre el archivo hosts y borra todas las tonterías que agrego el Virus:
[code lang="DOS" line="1"]notepad C:\WINDOWS\system32\drivers\etc\hosts[/code]
Con esto tu AV podrá actualizarse por desgracia el Norton y Kaspersky aun no lo detectan, ahora es necesario terminar el proceso si tienes el Active Protection en el Kaspersky detectara un archivo sospechoso, te dará una alerta y lo detiene así que activa que lo detenga automáticamente. Ahora bien descargate una copia del Process Explorer, cuando lo bajes descomprimelo y cámbiale el nombre al archivo no estoy seguro si detecta los Window Name, yo los edite con un Hex Editor pero fue porque pensé que usaba eso para detectar los programas, en fin si es el caso deja un comentario para agregar mas información.

Cuando abras el Process Explorer vete al menú Find > Find Handle or DLL, en la caja de texto escribe SYMLOADER y dale clic en Find, cuando lo encuentres dale dos clic aparecerá como un proceso hijo el Explorer una vez hecho esto abre una ventana de comandos y corre el siguiente comando:
[code lang="DOS" line="1"]cd C:\WINDOWS\system32
attrib -h -s -r SYMLOADER.EXE[/code]
No aparecera nada mas, ahora escribe el siguiente comando:
[code lang="DOS"]del SYMLOADER.EXE[/code]
Y deja la ventana lista, porque vas a tener que ser rápido, regresa al Process Explorer y da clic derecho a la instancia del SYMLOADER en el Explorer, da clic derecho y prepárate he aquí lo que tienes que hacer… Debes de seleccionar Close Handle, y despues inmediatamente Confirmar que quieres cerrar el Handle, regresar a la Consola de Comandos y correr el comando si eres lo suficientemente rápido abras logrado deshabilitarlo. Ahora el problema es que sigues sin Administrador de Tareas o REGEDIT para reactivar el REGEDIT bajate una copia de los RegTools por Doug Knox, correlo y se habilitaran las ediciones al registro, finalmente copia y pega el siguiente texto y guardalo como un archivo .REG un ejemplo RestauraPoliticas.REG
[code lang="reg" line="1"]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System]
"SysDesc"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR"=dword:00000000[/code]
Y listo te habrás librado de esta molestia. :)

En caso que tengas problemas para eliminarlos manualmente deja un comentario y con gusto tratare de ayudarte.