Sep 01 2016

Infección a través de los Accesos Directos

Acceso Directo

Recientemente comenzó a propagarse una nueva forma de infección en los dispositivos USB, la cual se realiza a través de los Accesos Directos.

El malware oculta las carpetas que se encuentren en el dispositivo USB y crea accesos directos simulando ser dichas carpetas, de este modo el usuario al intentar abrirlas en realidad está ejecutando un acceso directo al malware.

Se ha diseñado un script que limpia las unidades USB (el cual puedes descargar a continuación). Después de iniciarlo únicamente se tiene que indicar la letra correspondiente al dispositivo que se quiere desinfectar.

Sep 01 2016

Eliminar documentos de la cola de impresión

Hay ocasiones en las que al enviar un documento para su impresión se produce un error que lo deja en la cola de impresión sin posibilidad de eliminarlo o reanudarlo, no importando el número de veces que se desconecte la impresora o (en algunos casos) se reinicie el equipo.

Error Impresora

Por lo anterior se ha creado el siguiente script que elimina estos documentos de la cola de impresión, dejando al sistema listo para continuar trabajando.

Sólo hay que ejecutarlo y esperar un mensaje indicando la terminación del proceso.

Ago 27 2016

Elimina GLPS.exe

El gusano GLPS.exe fue diseñado para robar información bancaria del usuario infectado. Originalmente los datos robados estaban relacionados con un banco brasileño, pero fue modificado para robar información de bancos mexicanos. En alerta-antivirus.inteco.es podemos leer que este malware registra las pulsaciones de teclado introducidas en las páginas de los bancos y también es capaz de realizar capturas de imágenes y así poder obtener la información escrita a través de los teclados virtuales.

Crea un archivo Autorun.inf en la raíz de las particiones de disco que encuentre, así como también un ejecutable llamado autorun.exe dentro de la carpeta RECYCLER, con el siguiente contenido:

[autorun]
open=RECYCLER\autorun.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\autorun.exe
shell\open\default=1

Se copia a sí mismo (glps.exe) dentro de la carpeta [unidad]:\RECYCLER\S-1-5-21-xxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxx, donde las x son cualquier número. Crea un clave en el registro con el nombre Taskman para ejecutarse en cada reinicio.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

Modifica el archivo host con las siguientes direcciones:

148.244.43.5 www.bancomer.com
148.244.43.5 bancomer.com
148.244.43.5 www.bancomer.com.mx
148.244.43.5 bancomer.com.mx
148.244.43.5 bbvanet.com.mx
148.244.43.5 www.bbvanet.com.mx
192.193.230.100 www.banamex.com.mx
192.193.230.100 banamex.com.mx
192.193.230.100 www.banamex.com
192.193.230.100 banamex.com
69.73.184.133 see.sbi.com.mx
69.73.184.133 scotiabank.com.mx
69.73.184.133 scotiabankinverlat.com
69.73.184.133 scotiabankinverlat.com.mx
69.73.184.133 www.see.sbi.com.mx
69.73.184.133 www.scotiabank.com.mx
69.73.184.133 www.scotiabankinverlat.com
69.73.184.133 www.scotiabankinverlat.com.mx
69.73.184.133 inverweb3.scotiabankinverlat.com
69.73.184.133 www.inverweb3.scotiabankinverlat.com

Crea ejecutables en la carpeta de los temporales, temp, con nombres aleatorios formados por 3 números.

Temporales

También crea ejecutables en la carpeta Archivos temporales de Internet, cuyos nombres son palabras aleatorias al igual que los anteriores.

Temporales de Internet

Se ha hecho el siguiente script para su eliminación, el cual se puede descargar del enlace que aparece abajo.

DescargarDescargar