Seguridad 101: Utilidades Desinfeccion

 
 
 

Cómo eliminar Virus.Win32.Virut.ce, q

← Volver a la sección "Utilidades Desinfeccion"
2013 dic 27 ID Artículo: : 2735
 
 
 
 

La función principal de Virus.Win32.Virut.ce, q es un cliente de la red bot. Un virus o un troyano usan el cliente de la red bot para trasmitir los datos. Aquí puede leer más sobre las redes bot y su uso.

La herramienta VirutKiller.exe sirve para curar los sistemas infectados por Virus.Win32.Virut.ce, q.

Cómo desinfectar el sistema

WarningAntes de proceder con la desinfección, es necesario deshabilitar la función de restauración del sistema (System restore function).

  • Descargar el archivo VirutKiller.zip y descomprimirlo con WinZip por ejemplo, en una carpeta en el equipo (potencialmente) infectado.

  • Lanzar el fichero VirutKiller.exe.

  • Esperar el fin de escaneo y desinfección. Se puede necesitar un reinicio del equipo después de la desinfección.

Lanzada sin argumentos, la herramienta:

  • Busca y termina los flujos maliciosos.
  • Desengancha las siguientes funciones:

    • NtCreateFile;
    • NtCreateProcess;
    • NtCreateProcessEx;
    • NtOpenFile;
    • NtQueryInformationProcess.
  • Escanea y desinfecta los archivos en todos los discos duros.
  • Durante el escaneo de los discos duros la herramienta verifica los ficheros ejecutables cada 10 segundos.
  • Termina los procesos y desinfecta los archivos infectados.

Los argumentos para lanzar la herramienta SalityKiller.exe desde la línea de comandos:

-l <nombre_del_archivo> - guardar el archivo log;
-v – guardar un log detallado (utilizar junto con el argumento -l);
-s – escanear en “modo silencioso” (sin abrir la ventana de consola); 
-y – cerrar la ventana de la herramienta al terminar;
-p <ruta> - escanear la carpeta especificada;
-r – escanear los dispositivos extraíbles flash (pen-drives) / discos duros externos USB y FireWire;
-n – escanear los volúmenes de red
Los síntomas de la infección

  • Los equipos infectados sigan tratando de acceder las siguientes direcciones para recibir los comandos:

    • irc.zief.pl;
    • proxim.ircgalaxy.pl.

  • Los usuarios avanzados pueden observar los ganchos de las siguientes funciones en casi todos los procesos (el virus utiliza éstos ganchos para infectar todos los archivos ejecutables accedidos por los procesos y introduce su código en todos los procesos reiniciados):

    • NtCreateFile;
    • NtCreateProcess;
    • NtCreateProcessEx;
    • NtOpenFile;
    • NtQueryInformationProcess.

Para observarlo, puede usar la herramienta Rootkit Unhooker, por ejemplo:




o la herramienta Gmer:

 
 
 
 
Le ha sido de ayuda nuestra información?
Si No