Eliminar virus archivos .lnk [LINUX]

recuperar ficheros pendrive infectado virusMira que uso poco ordenadores con sistema operativo Windows pero el otro día, fui a pasarle una documentación a mi director y ¡oh, sorpresa! se me infectó la memoria usb (eso me pasa por “meterla” en cualquier sitio sin protección ni tener cuidado 😉 )

Los síntomas son claros:

  • desaparecen los ficheros originales
  • aparecen accesos directos en su lugar

Por fortuna, estamos ante otro caso de “virus pobre” como el que os mencioné hace ya algún tiempo (2008, es posible que no haya vuelto a utilizar un equipo con el “ventanuco” desde entonces porque no me he vuelto a “infectar” jejeje)

Solución sencilla

Muchos de mis compañeros, que ya están acostumbrados a la epidemia que tenemos de este virus (curiosamente ni se molestan en “quejarse” al coordinador TIC… ¿habrá calado que no mantengo equipos con Windows? jojojo) optan por usar directamente Guadalinex (incluso apagan los equipos duales cuando ven que está con Windows) pero, si se infectan (en un descuido) les tengo enseñado que lo mejor que pueden hacer es:

  1. Pincha el pendrive en un PC con Guadalinex
  2. Copiar los ficheros del pendrive al PC
  3. Formatear el pendrive
  4. Volver a copiar sus datos al pendrive.

copiando ficheros manualmente

Por debajo, la solución que subyace es que al copiar a un sistema de ficheros EXTn (normalmente EXT4) se pierden los atributos del sistema de archivos FAT/FAT32 (el virus lo que hace es ocultar los ficheros originales y crear enlaces) y se obra el “milagro.

NOTA: a los más avezados les enseño a quitar el fichero .vbs que se encarga de volver a infectar los equipos (y el autorun si lo hubiese)

Solución rápida

La solución anterior es la más sencilla pero, copiar un pendrive usb lleno de archivos no es precisamente rápido. En estos casos prefiero aplicar la siguiente solución (cuestión de un par de segundos) que consiste en devolver a su estado original los atributos de los ficheros infectados.

Utilizaremos el comando mattrib (estoy pensando en sistema de archivos FAT/FAT32, si necesitas una solución para NTFS, no dudes en preguntar en los comentarios cómo hacerlo)

Si no tienes disponible el comando mattrib, necesitarás instalar el paquete MTOOLS.

Configurar el pendrive

Para poder usar mattrib, es necesario tener configurado el acceso al pendrive que deseas limpiar de virus como una unidad de ms-dos.

parámetros del comando mattrib

Crea el fichero ~/.mtoolsrc con el siguiente contenido:

drive s: file=”/dev/TU_UNIDAD_USB”
mtools_skip_check=1

Observa:

  1. TU_UNIDAD_USB es el dispositivo correspondiente a tu pendrive, en mi caso particular sería /dev/sdd1 obtener la dirección física del pendrive
  2. .mtoolsrc debes ubicarlo en el directorio raíz de tu carpeta de usuario (observa que va precedido de ~)
  3. s: puedes poner el nombre de unidad que te plazca (e:, f:, …) pero, si lo cambias, tenlo en cuenta en el próximo comando 😉

Cambiar los atributos

Una vez que tienes definido cómo acceder a tu pendrive, lanza el siguiente comando para actualizar los atributos de los ficheros que han sido cambiados por el virus

sudo mattrib -h -s -r -/ s:*

Para quitar el atributo de oculto (-h) el de fichero del sistema (-s) y el de sólo lectura (-r) de todos los archivos de la unidad s: (s:*) y, recursivamente (-/) de todos los ficheros independientemente del directorio que lo contenga.

Eliminar ficheros .lnk (opcional)

Si quieres quitar toda la basura que ha metido el virus en tu pendrive, te recomiendo lanzar el siguiente comando

find . -name \*.lnk -exec rm {} \;

NOTA: Observa que se usa el directorio actual (el “.” entre find y -name) por lo que deberás:

  1. lanzarlo desde el directorio de tu pendrive (desplázate hasta él)
  2. cambiar el “.” por la ruta absoluta a tu pendrive

Conclusión

Si vas a utilizar un equipo con Windows… ¡usa protección! 😄

Ahora en serio, un par de trucos (uno sencillo por si no te quieres marear y otro rápido si no tienes un segundo que perder) para eliminar los molestos (que no dañinos) efectos del virus que se entretiene en ocultar tus ficheros y sustituirlos por accesos directos.

Y tú…

  • ¿Te has visto afectado por el dichoso virus?
  • ¿Qué solución sueles utilizar cuando te ves infectado por él?
  • ¿Conocías el comando mattrib?
  • ¿Crees realmente que hay algún antivirus “bueno”?

20 comentarios en “Eliminar virus archivos .lnk [LINUX]

  1. osgradel dijo:

    Genial! Ese virus es viajero y ha llegado a Murcia también!
    A mi tampoco me afectan porque uso Linux Mint, pero en mi Instituto se ha extendido y ha llegado al disco duro portátil de la Directora. ¿Sería mucha molestia que explicaras como quitarlo en un sistema de archivos NTFS? Te lo agradecería. Por cierto, gran blog, llevo un par de años aprendiendo mucho!

    • No diré que me alegra saber que se ha propagado hasta Murcia pero si que te guste las modestas publicaciones que vengo vertiendo en este rincón de la web, amigo Óscar.

      Es curiosos como los equipos de los directores pueden llegar a convertirse en un crisol de “bichitos” de este tipo 😉

      Cuenta con un mini artículo (dedicado para vosotros) explicando tanto el comando como los parámetros necesarios para erradicar (cuando no se desea copiar/pegar entre discos).

      Disculpa que no te comente la solución directamente aquí pero me gustaría hacer un par de pruebas antes de lanzar la solución.

      Gracias por comentar y un saludo

  2. Swicher dijo:

    Otra forma que se me ocurre para cambiar los atributos de archivos en Linux podría ser ejecutando “wine cmd”, lo cual abre una linea de comandos parecida a la de Windows. Me acabo de fijar y cuenta con el comando attrib pero no lo he probado así que no se que tan bien funcione.
    Desconozco si esa es la solución que estas probando para hacer lo mismo con NTFS (de ser así disculpa si te quite la “primicia”).

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s