Eliminar virus archivos .lnk [LINUX]

recuperar ficheros pendrive infectado virusMira que uso poco ordenadores con sistema operativo Windows pero el otro día, fui a pasarle una documentación a mi director y ¡oh, sorpresa! se me infectó la memoria usb (eso me pasa por “meterla” en cualquier sitio sin protección ni tener cuidado 😉 )

Los síntomas son claros:

  • desaparecen los ficheros originales
  • aparecen accesos directos en su lugar

Por fortuna, estamos ante otro caso de “virus pobre” como el que os mencioné hace ya algún tiempo (2008, es posible que no haya vuelto a utilizar un equipo con el “ventanuco” desde entonces porque no me he vuelto a “infectar” jejeje)

Solución sencilla

Muchos de mis compañeros, que ya están acostumbrados a la epidemia que tenemos de este virus (curiosamente ni se molestan en “quejarse” al coordinador TIC… ¿habrá calado que no mantengo equipos con Windows? jojojo) optan por usar directamente Guadalinex (incluso apagan los equipos duales cuando ven que está con Windows) pero, si se infectan (en un descuido) les tengo enseñado que lo mejor que pueden hacer es:

  1. Pincha el pendrive en un PC con Guadalinex
  2. Copiar los ficheros del pendrive al PC
  3. Formatear el pendrive
  4. Volver a copiar sus datos al pendrive.

copiando ficheros manualmente

Por debajo, la solución que subyace es que al copiar a un sistema de ficheros EXTn (normalmente EXT4) se pierden los atributos del sistema de archivos FAT/FAT32 (el virus lo que hace es ocultar los ficheros originales y crear enlaces) y se obra el “milagro.

NOTA: a los más avezados les enseño a quitar el fichero .vbs que se encarga de volver a infectar los equipos (y el autorun si lo hubiese)

Solución rápida

La solución anterior es la más sencilla pero, copiar un pendrive usb lleno de archivos no es precisamente rápido. En estos casos prefiero aplicar la siguiente solución (cuestión de un par de segundos) que consiste en devolver a su estado original los atributos de los ficheros infectados.

Utilizaremos el comando mattrib (estoy pensando en sistema de archivos FAT/FAT32, si necesitas una solución para NTFS, no dudes en preguntar en los comentarios cómo hacerlo)

Si no tienes disponible el comando mattrib, necesitarás instalar el paquete MTOOLS.

Configurar el pendrive

Para poder usar mattrib, es necesario tener configurado el acceso al pendrive que deseas limpiar de virus como una unidad de ms-dos.

parámetros del comando mattrib

Crea el fichero ~/.mtoolsrc con el siguiente contenido:

drive s: file=”/dev/TU_UNIDAD_USB”
mtools_skip_check=1

Observa:

  1. TU_UNIDAD_USB es el dispositivo correspondiente a tu pendrive, en mi caso particular sería /dev/sdd1 obtener la dirección física del pendrive
  2. .mtoolsrc debes ubicarlo en el directorio raíz de tu carpeta de usuario (observa que va precedido de ~)
  3. s: puedes poner el nombre de unidad que te plazca (e:, f:, …) pero, si lo cambias, tenlo en cuenta en el próximo comando 😉

Cambiar los atributos

Una vez que tienes definido cómo acceder a tu pendrive, lanza el siguiente comando para actualizar los atributos de los ficheros que han sido cambiados por el virus

sudo mattrib -h -s -r -/ s:*

Para quitar el atributo de oculto (-h) el de fichero del sistema (-s) y el de sólo lectura (-r) de todos los archivos de la unidad s: (s:*) y, recursivamente (-/) de todos los ficheros independientemente del directorio que lo contenga.

Eliminar ficheros .lnk (opcional)

Si quieres quitar toda la basura que ha metido el virus en tu pendrive, te recomiendo lanzar el siguiente comando

find . -name \*.lnk -exec rm {} \;

NOTA: Observa que se usa el directorio actual (el “.” entre find y -name) por lo que deberás:

  1. lanzarlo desde el directorio de tu pendrive (desplázate hasta él)
  2. cambiar el “.” por la ruta absoluta a tu pendrive

Conclusión

Si vas a utilizar un equipo con Windows… ¡usa protección! XD

Ahora en serio, un par de trucos (uno sencillo por si no te quieres marear y otro rápido si no tienes un segundo que perder) para eliminar los molestos (que no dañinos) efectos del virus que se entretiene en ocultar tus ficheros y sustituirlos por accesos directos.

Y tú…

  • ¿Te has visto afectado por el dichoso virus?
  • ¿Qué solución sueles utilizar cuando te ves infectado por él?
  • ¿Conocías el comando mattrib?
  • ¿Crees realmente que hay algún antivirus “bueno”?

22 comentarios en “Eliminar virus archivos .lnk [LINUX]

  1. osgradel dijo:

    Genial! Ese virus es viajero y ha llegado a Murcia también!
    A mi tampoco me afectan porque uso Linux Mint, pero en mi Instituto se ha extendido y ha llegado al disco duro portátil de la Directora. ¿Sería mucha molestia que explicaras como quitarlo en un sistema de archivos NTFS? Te lo agradecería. Por cierto, gran blog, llevo un par de años aprendiendo mucho!

    • No diré que me alegra saber que se ha propagado hasta Murcia pero si que te guste las modestas publicaciones que vengo vertiendo en este rincón de la web, amigo Óscar.

      Es curiosos como los equipos de los directores pueden llegar a convertirse en un crisol de “bichitos” de este tipo 😉

      Cuenta con un mini artículo (dedicado para vosotros) explicando tanto el comando como los parámetros necesarios para erradicar (cuando no se desea copiar/pegar entre discos).

      Disculpa que no te comente la solución directamente aquí pero me gustaría hacer un par de pruebas antes de lanzar la solución.

      Gracias por comentar y un saludo

  2. Swicher dijo:

    Otra forma que se me ocurre para cambiar los atributos de archivos en Linux podría ser ejecutando “wine cmd”, lo cual abre una linea de comandos parecida a la de Windows. Me acabo de fijar y cuenta con el comando attrib pero no lo he probado así que no se que tan bien funcione.
    Desconozco si esa es la solución que estas probando para hacer lo mismo con NTFS (de ser así disculpa si te quite la “primicia”).

  3. Jorge dijo:

    Tampoco me afecta pues yo uso Debian 9, lo mejor del mundo.
    En ocasiones mis amigos (usuarios de Windows) han llegado con un puñado de memorias infectadas y lagrimas en los ojos, suplicando que los ayude.
    El procedimiento es sencillo. comienza por ver las memorias en mi PC portatil.
    Alli aparece el virus y sin importar a cual variedad pertenezca estará inactivo y se podra borrar sin ningun problema. Tambi{en es el momento de borrar los accesos directos .lnk
    La precaucion a tener consiste en que Debian crea una papelera de reciclaje en el dispositivo, con el nombre Trash 1000 y esta se debe eliminar completamente antes de retirarlo o si no perdimos el tiempo.
    Lo siguiente es en el equipo infectado que corre Windows.
    Haciendo click derecho en la barra inferior y activamos el Administrador de Tareas y observamos en Procesos si está activo uno que se llama “mscript”. Ese proceso es llamado por el Script de Comandos o “virus pobre” y es el que lo mantiene activo. Lo apagamos.
    Luego hacemos de tal manera que podamos tener dos ventanas activas sobre la pantalla y en una tendremos el administrador de Tareas y en la otra la carpeta donde encontramos el virus.
    Configuramos de tal manera que se vean los archivos y carpetas ocultos y nos vamos a la carpeta Usuarios ( Users) y hacemos el procedimiento en todos los usuarios existentes. Aparecera “App Data” y dentro “Local” y en esta estará el dichoso virus. Aunque en ocasiones puede estar en otro lado pero siempre estará dentro de las Carpetas de Usuario, no en otro sitio.
    Entonces en una ventana tendremos activo el “mscript” y en la otra el “virus pobre”, a continuacion apagamos el proceso “mscript” en una ventana y como un rayo nos vamos a la otra y eliminamos el virus, que asi se encuentra sin apoyo.
    Hay que hacerlo con todos los usuarios.
    Cuando ya el equipo esté limpio usamos una aplicacion para Windows, que es muy pequeña y no necesita instalación y se llama “USB Show” que restituirá los atributos normales a los archivos y carpetas. Los accesos directos se borran a mano.
    Otra forma es usar una distribucion Linux en version Live, reiniciando el PC desde esta revisamos los usuarios y eliminamos el virus.
    Solo despues de estar totalmente seguros que el virus ha desaparecido, se puede introducir la Memoria USB para restituirle los atributos con USB Show pues habremos perdido el tiempo y a empezar desde el principio

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.