COMO DETECTAR Y ELIMINAR EL “SKYPE” (Variante del virus Nekat) Comúnmente se escucharía: “ Tengo mi PC infectado por algún tipo de virus o gusano la verdad no sé, es una combinación de soundmix, syswin, msrundll32.exe y Troj/HideDoc, me desactiva el administrador de tareas, me desactiva el símbolo de sistema, el REGEDIT, las opciones de carpeta, y me convierte los archivos .doc de office en .exe de 33K. También quisiera saber si es posible recuperar los archivos perdidos. Pero este es una nueva variante y por más que le he invertido tiempo al asunto no puedo recuperar los archivos que a la larga es lo que me interesa. Si alguien sabe como hacerlo se lo agradecería. “ Método de Propagación “Skype” llega al ordenador por medio de el uso del autorun.inf y con un archivo .dll, .exe o con el icono de Word, para engañar a los usuarios y hacerles pensar que se trata de un archivo inofensivo “Skype” se propaga a través de unidades extraíbles, cds o dvds con archivos infectados. Peligrosidad: Alta Daño: Medio Dispersibilidad: Medio Explicación de los criterios Nombre completo: virus.W32/skype.a Tipo: [virus] - Programa que se replica copiándose entero (infectando otros ficheros) en la máquina infectada, y a través de redes de ordenadores. Plataforma: [W32] - Ejecutable (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 Alias:W32/skype.a Bueno, empecemos con los síntomas. El troyano realiza numerosas modificaciones en el Registro de Windows, que tienen las siguientes consecuencias:

Deshabilita los siguientes elementos: - Editor del Registro de Windows. - Administrador de Tareas. - Opciones de carpeta del Explorador de Windows. - Restauración de sistema. - Consola de comandos. Deshabilita las siguientes opciones del menú de Inicio: - Buscar. - Ejecutar. Utiliza diversas técnicas para dificultar su detección: - Oculta los archivos y carpetas con atributo oculto. - Oculta las extensiones de los archivos. - Oculta los archivos del sistema operativo. Aparte de esto, empieza el verdadero poder del virus. Al haber entrado al registro del sistema, deshabilita el antivirus de tal forma que él sigue ejecutándose pero no lo detecta y si lo detecta no puede eliminarlo. Después utiliza la opción buscar y con una línea de comando de autoejecución, escanea todo el disco duro excepto los .zip y los archivos comprimidos; y a cada documento de extensión .doc lo cambia por un archivo con el mismo nombre pero con extensión .exe de tamaño 33K.

ELIMINACION DEL VIRUS SKYPE

Primero, hay que hacerse a la idea de que los documentos ya se perdieron, así será más sencillo proceder. El sistema ya se encuentra infectado, entonces lo que hay que hacer es buscar el archivo que hace que este, no permita eliminar el virus; con un programa que deje ver las aplicaciones que se ejecutan en el arranque de Windows, como es el “Easy remover” podemos ver las aplicaciones y en especial una con la siguiente ruta: “c:\windows\logon.exe” Comúnmente este es el nombre del archivo cómplice del virus. Ya con este dato se procede a usar un Xp Live Cd, el más conocido es el “PILITOS”.

Ejecutando este cd se inicia el equipo con el Xp live y dejamos que cargue hasta que ya esté listo para usar el Windows Xp.

1. Forma de eliminación:

Con el Windows activado, y con una memoria usb, pendrive o flash memory, que contenga el directorio del Nod32 (ESET) copiado completamente, procedemos a ejecutar el archivo nod32.exe, antes de empezar a escanear el disco duro, seleccionamos la pestaña “acciones”, opción “Desinfectar” y si es imposible desinfectar “eliminar”. Ahora se selecciona “Analizar y desinfectar” y que empiece el proceso de eliminación de documentos infectados. No son los documentos reales, sino copias del troyano con el mismo nombre de los documentos.

2. Forma de eliminación:

Con el Windows activado, y con una memoria usb, pendrive o flash memory, que contenga el directorio del antivirus que mas uses, lo ejecutas y eliminas todos los archivos infectados con el virus.

Antes de reiniciar el computador se copia en una carpeta el archivo “combofix.exe” y se inicia el sistema con el Windows que tenga instalado el PC. Cuando arranque Windows Xp lo más probable es que pida el archivo “logon.exe” o que diga que está perdido, no hay problema solo se le da continuar, aceptar o cancelar y se deja cargar el Windows. Se usa el explorador de Windows o “MI Pc” para ejecutar el archivo “combofix.exe” y ya quedan habilitadas las funciones que habían quedado desactivadas por el virus y se verifica que los programas funcionen correctamente y se instala nuevamente el antivirus. Por último, se ejecuta el comando “msconfig” en la opción, “ejecutar” y se quita la siguiente línea de comando: “c:\windows\logon.exe”; y se reinicia el pc. Para recuperar los documentos perdidos recomiendo usar el “Easy Recovery Profesional”.

Juan José Agredo Ver 1.4