Mira que uso poco ordenadores con sistema operativo Windows pero el otro día, fui a pasarle una documentación a mi director y ¡oh, sorpresa! se me infectó la memoria usb (eso me pasa por «meterla» en cualquier sitio sin protección ni tener cuidado 😉 )
Los síntomas son claros:
- desaparecen los ficheros originales
- aparecen accesos directos en su lugar
Por fortuna, estamos ante otro caso de «virus pobre» como el que os mencioné hace ya algún tiempo (2008, es posible que no haya vuelto a utilizar un equipo con el «ventanuco» desde entonces porque no me he vuelto a «infectar» jejeje)
Solución sencilla
Muchos de mis compañeros, que ya están acostumbrados a la epidemia que tenemos de este virus (curiosamente ni se molestan en «quejarse» al coordinador TIC… ¿habrá calado que no mantengo equipos con Windows? jojojo) optan por usar directamente Guadalinex (incluso apagan los equipos duales cuando ven que está con Windows) pero, si se infectan (en un descuido) les tengo enseñado que lo mejor que pueden hacer es:
- Pincha el pendrive en un PC con Guadalinex
- Copiar los ficheros del pendrive al PC
- Formatear el pendrive
- Volver a copiar sus datos al pendrive.
Por debajo, la solución que subyace es que al copiar a un sistema de ficheros EXTn (normalmente EXT4) se pierden los atributos del sistema de archivos FAT/FAT32 (el virus lo que hace es ocultar los ficheros originales y crear enlaces) y se obra el «milagro.
NOTA: a los más avezados les enseño a quitar el fichero .vbs que se encarga de volver a infectar los equipos (y el autorun si lo hubiese)
Solución rápida
La solución anterior es la más sencilla pero, copiar un pendrive usb lleno de archivos no es precisamente rápido. En estos casos prefiero aplicar la siguiente solución (cuestión de un par de segundos) que consiste en devolver a su estado original los atributos de los ficheros infectados.
Utilizaremos el comando mattrib (estoy pensando en sistema de archivos FAT/FAT32, si necesitas una solución para NTFS, no dudes en preguntar en los comentarios cómo hacerlo)
Si no tienes disponible el comando mattrib, necesitarás instalar el paquete MTOOLS.
Configurar el pendrive
Para poder usar mattrib, es necesario tener configurado el acceso al pendrive que deseas limpiar de virus como una unidad de ms-dos.
Crea el fichero ~/.mtoolsrc con el siguiente contenido:
drive s: file=»/dev/TU_UNIDAD_USB»
mtools_skip_check=1
Observa:
- TU_UNIDAD_USB es el dispositivo correspondiente a tu pendrive, en mi caso particular sería /dev/sdd1
- .mtoolsrc debes ubicarlo en el directorio raíz de tu carpeta de usuario (observa que va precedido de ~)
- s: puedes poner el nombre de unidad que te plazca (e:, f:, …) pero, si lo cambias, tenlo en cuenta en el próximo comando 😉
Cambiar los atributos
Una vez que tienes definido cómo acceder a tu pendrive, lanza el siguiente comando para actualizar los atributos de los ficheros que han sido cambiados por el virus
sudo mattrib -h -s -r -/ s:*
Para quitar el atributo de oculto (-h) el de fichero del sistema (-s) y el de sólo lectura (-r) de todos los archivos de la unidad s: (s:*) y, recursivamente (-/) de todos los ficheros independientemente del directorio que lo contenga.
Eliminar ficheros .lnk (opcional)
Si quieres quitar toda la basura que ha metido el virus en tu pendrive, te recomiendo lanzar el siguiente comando
find . -name \*.lnk -exec rm {} \;
NOTA: Observa que se usa el directorio actual (el «.» entre find y -name) por lo que deberás:
- lanzarlo desde el directorio de tu pendrive (desplázate hasta él)
- cambiar el «.» por la ruta absoluta a tu pendrive
Conclusión
Si vas a utilizar un equipo con Windows… ¡usa protección! XD
Ahora en serio, un par de trucos (uno sencillo por si no te quieres marear y otro rápido si no tienes un segundo que perder) para eliminar los molestos (que no dañinos) efectos del virus que se entretiene en ocultar tus ficheros y sustituirlos por accesos directos.
Y tú…
- ¿Te has visto afectado por el dichoso virus?
- ¿Qué solución sueles utilizar cuando te ves infectado por él?
- ¿Conocías el comando mattrib?
- ¿Crees realmente que hay algún antivirus «bueno»?
- …
Informático de Guardia 
Lo que más me ha gustado es el prompt.
Muéstrame tus variables 😉
Me gustaMe gusta
Te señalo la «luna» ¿¡¿Y te quedas mirando el «dedo»?!? ¡Pardiez! XD
Son las que configura por defecto Apricity…buscaré hueco al llegar a casa y te las paso 😉
Me gustaMe gusta
jajaj, gracias!
Es que, como en tu caso, no uso máquinas windows, por lo que no me afecta esa luna… 😛
Me gustaMe gusta
No digas «zape»… Yo he caído en un descuido 😦
Me gustaMe gusta
Apricity OS usa un tema para personalizar LiquidFront (te incluyo enlace a GitHub donde podrás descargarlo y consultar cómo personalizar tanto la información que muestra como los colores del tema)
Espero te sea de utilidad para poner tu terminal toda «guapetona» 😉
NOTA: No olvides incluir Powerline para que, entre otras cosas, aparezcan los directorios en plan «chulo».
Me gustaMe gusta
Reblogueó esto en Matad al mensajero.
Me gustaMe gusta
Genial! Ese virus es viajero y ha llegado a Murcia también!
A mi tampoco me afectan porque uso Linux Mint, pero en mi Instituto se ha extendido y ha llegado al disco duro portátil de la Directora. ¿Sería mucha molestia que explicaras como quitarlo en un sistema de archivos NTFS? Te lo agradecería. Por cierto, gran blog, llevo un par de años aprendiendo mucho!
Me gustaMe gusta
No diré que me alegra saber que se ha propagado hasta Murcia pero si que te guste las modestas publicaciones que vengo vertiendo en este rincón de la web, amigo Óscar.
Es curiosos como los equipos de los directores pueden llegar a convertirse en un crisol de «bichitos» de este tipo 😉
Cuenta con un mini artículo (dedicado para vosotros) explicando tanto el comando como los parámetros necesarios para erradicar (cuando no se desea copiar/pegar entre discos).
Disculpa que no te comente la solución directamente aquí pero me gustaría hacer un par de pruebas antes de lanzar la solución.
Gracias por comentar y un saludo
Me gustaMe gusta
Ese es el mtodo que yo uso siempre que la meto sin fijarme primero XD
Por si acaso alguien no tiene un equipo con Linux a la mano les aporto la forma de hacerlo en una maquina con Window
https://mantisfistjabn.wordpress.com/2015/10/26/tres-formas-de-ganarle-al-virus-del-acceso-directo/
Me gustaMe gusta
Muy buen aporte compi, gracias por compartirlo.
Sólo me surge una duda, ¿Cómo evitas que se infecte el equipo en el que pinchas el pendrive para aplicar alguna de las soluciones propuestas? (partiendo de la base que no hay antivirus bueno 😉 )
Me gustaMe gusta
en mi caso, lo uso en una maquina que yo sepa que es segura y que tenga (al menos) Avast Antivirus (versión Free) actualizada. Hasta ahora no he tenido problemas cuando me toca hacerlo asi.
Me gustaMe gusta
Por tu salud, espero que sean las menos 😉
Me gustaMe gusta
jajajaja si. por lo general tengo una USB con alguna distro, la inicio en Live y desde ahi hago lo demas. Pero a veces me ha tocado a lo dificil.
Me gustaMe gusta
Di que sí…yo suelo llevar encima mi fiel ArchBang en un pendrive por lo que se pueda encartar 😉
Me gustaLe gusta a 1 persona
En mi caso tengo Antergos y BackBox
Me gustaMe gusta
Otra forma que se me ocurre para cambiar los atributos de archivos en Linux podría ser ejecutando «wine cmd», lo cual abre una linea de comandos parecida a la de Windows. Me acabo de fijar y cuenta con el comando attrib pero no lo he probado así que no se que tan bien funcione.
Desconozco si esa es la solución que estas probando para hacer lo mismo con NTFS (de ser así disculpa si te quite la «primicia»).
Me gustaMe gusta
Descuida, soy poco amigo de Wine pero, me encanta el enfoque que has dado al problema ¡Enhorabuena!
Me gustaMe gusta
DropBox o Google Drive, y te olvidas de virus, de llevarlo el pen encima o de perderlo. Saludos.
Me gustaMe gusta
Ni pierdes el pendrive 😉
Yo soy de Drive pero, en esta ocasión necesitaba una solución rápida y, nuestra conexión, no es precisamente veloz 🙂
Me gustaMe gusta
Pasa hasta en las mejores familiaa!!! jajajajaja
Me gustaMe gusta
Tampoco me afecta pues yo uso Debian 9, lo mejor del mundo.
En ocasiones mis amigos (usuarios de Windows) han llegado con un puñado de memorias infectadas y lagrimas en los ojos, suplicando que los ayude.
El procedimiento es sencillo. comienza por ver las memorias en mi PC portatil.
Alli aparece el virus y sin importar a cual variedad pertenezca estará inactivo y se podra borrar sin ningun problema. Tambi{en es el momento de borrar los accesos directos .lnk
La precaucion a tener consiste en que Debian crea una papelera de reciclaje en el dispositivo, con el nombre Trash 1000 y esta se debe eliminar completamente antes de retirarlo o si no perdimos el tiempo.
Lo siguiente es en el equipo infectado que corre Windows.
Haciendo click derecho en la barra inferior y activamos el Administrador de Tareas y observamos en Procesos si está activo uno que se llama «mscript». Ese proceso es llamado por el Script de Comandos o «virus pobre» y es el que lo mantiene activo. Lo apagamos.
Luego hacemos de tal manera que podamos tener dos ventanas activas sobre la pantalla y en una tendremos el administrador de Tareas y en la otra la carpeta donde encontramos el virus.
Configuramos de tal manera que se vean los archivos y carpetas ocultos y nos vamos a la carpeta Usuarios ( Users) y hacemos el procedimiento en todos los usuarios existentes. Aparecera «App Data» y dentro «Local» y en esta estará el dichoso virus. Aunque en ocasiones puede estar en otro lado pero siempre estará dentro de las Carpetas de Usuario, no en otro sitio.
Entonces en una ventana tendremos activo el «mscript» y en la otra el «virus pobre», a continuacion apagamos el proceso «mscript» en una ventana y como un rayo nos vamos a la otra y eliminamos el virus, que asi se encuentra sin apoyo.
Hay que hacerlo con todos los usuarios.
Cuando ya el equipo esté limpio usamos una aplicacion para Windows, que es muy pequeña y no necesita instalación y se llama «USB Show» que restituirá los atributos normales a los archivos y carpetas. Los accesos directos se borran a mano.
Otra forma es usar una distribucion Linux en version Live, reiniciando el PC desde esta revisamos los usuarios y eliminamos el virus.
Solo despues de estar totalmente seguros que el virus ha desaparecido, se puede introducir la Memoria USB para restituirle los atributos con USB Show pues habremos perdido el tiempo y a empezar desde el principio
Me gustaMe gusta
Se agradece el comentario Jorge y, en especial, el consejo para limpiar el PC con Windows infectado (y evitar que se siga propagando)
Debian es buena, pero Arch mejor… 😏😂
Me gustaMe gusta