Virus & Rapidez
Esta mañana recibíamos una muestra de un usuario el cual decía que le había aparecido un proceso extraño en su máquina, Al recibir la muestra la enviamos a Virus Total para así tener una primera impresión de lo que nos deparaba.
Aparentemente ningún motor antivirus lo detectaba en ese momento.
Por experiencia ya que hace pocas semanas tuvimos un caso parecido, la hemos enviado a nuestro destripador de amenazas y cual a sido nuestra sorpresa:
Es uno de esos gusanos que se propaga por dispositivos removibles, como USBs, didcos duros extraibles o unidades/carpetas compartidas, etc.
Para eliminarlo, debemos:
* Matar el proceso smcc.exe desde el administrador de tareas Ctrl+Alt+Supr
* Eliminar los ficheros:
WINDOWS\system32\cmdll.dll
WINDOWS\system32\smcc.exe
* Eliminar la entrada en el registro de Windows que hace referencia a smcc.exe, en HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run
Ya con esta certeza la muestra se ha enviado a los laboratorios de ESET y en el corto plazo de una hora se ha agregado a la base de firmas de virus, consiguiendo con ello una satisfacción personal por un trabajo bien hecho.
Para prevenir este tipo de gusanos (y que se pueda volver a propagar), debemos desactivar todos los arranques automáticos. Podemos hacerlo a través del administrador de políticas de grupo.
Suponiendo que tenemos el sistema operativo Windows XP:
1) Inicio -> Ejecutar -> gpedit.msc
2) Configuración del equipo -> plantillas administrativas -> sistema -> Desactivar reproducción automática
3) Activar «Habilitada» -> seleccionar «Todas las unidades» -> pulsar «Aceptar»
4) Inicio -> Ejecutar -> gpupdate
En ell paso 4 no se verá nada (parpadeará la ventana de msdos), pero este comando sirve para actualizar la política y que esté activa desde ese momento.
Con eso previene que Windows ejecute los autorun.inf al introducir un USB, CD, etc., y este tipo de gusanos no se podrán ejecutar automáticamente. Una práctica simple que también nos ayudará a mantenernos a salvo es el tener una cuenta que no sea de administrador del sistema, con lo cual no se permite la instalación de aplicaciones, dos consejos muy útiles y muy fáciles con los cuales nos podremos ahorrar más de un disgusto.
Gracias B.
R.R.
Related Posts
-
Desarrolladores de un mod para Flight Simulator X incluyen malware como parte del DRM
-
Los timos con criptomonedas que usan imágenes de famosos continúan muy activos
-
¿Qué hacer tras las filtraciones de datos personales procedentes de Facebook y LinkedIn?
-
¿Puede un misil Patriot ser controlado por un ciberterrorista?
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.