Nuevo Virus AMVO y/o AVPO (y variantes)

Pues bueno. Desde hace poco más de dos meses me encontré con este virus-troyano que se esparce por medio de unidades extraibles USB principalmente. Debido a que estas undades ya están al alcance de todos y se han vuelto muy populares y han sustituido al disket como medio portable y de fácil manejo por excelencia (cosa que el CD no pudo lograr) a alguien se le ocurrió que era buena idea crear un virus que se replicara a si mismo y se distribuyera de forma automática por este medio.

Este virus se ejecuta de forma automática con solo introducir tu unidad USB en la computadora víctima, no es necesario nisiquiera acceder a tu unidad o ejecutar o abrir nada, por el simple hecho de conectar la unidad a la computadora ya la haz contagiado. Y de forma inversa también, si la computadora es la infectada e introduces una unidad limpia, tu unidad se infectará de forma automática, al conectarla en otra computadora la infectarás tú y así sucesivamente. (Moraleja: cuidado con dónde la andas metiendo o cuidado con dejar que cualquiera te la meta)

Después de que la máquina se ha infectado el virus procederá a hacer que todos tus archivos ocultos y de sistema queden BIEN ocultos. Osea que si activas la opción "Ver archivos ocultos" y desactivas la opción "Ocultar archivos protegidos de sistema" a tu sistema le valdrá un reverendo cacahuate y no te mostrará nada. Esto con la finalidad de que no puedas ver los archivos que crea el virus y no puedas borrarlos a mano.

Te preguntarás "¿Qué chiste tiene este virus además de molestar desapareciendo para siempre tus carpetas ocultas?"... pues nada... simplemente se pone a logear tus contraseñas y nombres de usuario y a mandarlas por un cliente SMTP que trae integrado a alguna dirección de correo electrónico desconocida. Y me refiero a TODAS tus contraseñas: e-mails, cuentas bancarias, archivos protegidos, sistema, etc. etc. etc...

Lo malo de este virus es que continuamente (casi cada semana) salen variantes y mutaciones, y es difícil que un antivirus esté preparado con tanta frecuencia para detenerlo antes que te infecte. Me he infectado a propósito (y sin querer también) varias veces con las variantes más nuevas y no fueron detectadas por los siguientes antivirus: AVAST, NOD32, Norton, McAfee y Panda. Fué detectado por Kaspersky Antivirus... sinembargo este antivirus consume cantidades enormes de recursos y no me detectó variantes más viejas del mismo por lo que me quedo con NOD32 que es la primera vez que no me detecta algo.

Después de un tiempo las bases de tu antivirus (cualquiera) se actualizarán y el virus será detectado y eliminado... pero todas las modificaciones que le hizo a tu sistema quedarán igual (los archivos ocultos bién ocultos y eso) además de que para entonces el virus ya habrá mandado una considerable cantidad de información privada a alguna dirección misteriosa.

Entonces cómo darnos cuenta a tiempo de que estamos infectados? o cómo saber si la memoria que acabamos de introducir estaba infectada sin la ayuda de nuestro antivirus.

Lo primero que sucede cuando intriducimos una memoria infectada es que el sistema se pasma por unos segundos ya que el virus se está copiando y haciendo las modificaciones al mismo. Una vez que abren "Mi PC" y dan doble click para abrir la unidad extraible el sistema se vuelve a pasmar por otros cuantos segundos (no crean que son muchos, serán como 2 o 3) debido a que el virus vuelve a compiarse y a modificar todo... Este sería el primer síntoma... pero algunas máquinas son demasiado rápidas y esto no se percibe.

Otro síntoma es que sus archivos ocultos no pueden volver a ser vistos (como ya les había dicho). Si quieren comrpobarlo abran una carpeta cualquiera y creen ahí un archivo cualquiera, luego ocultenlo (si no saben como mejor lleven su computadora a un servicio técnico o busquen en google "¿cómo ocultar un archivo?") el ícono de su archivo oculto aparecerá ahora "transparente", ahora salgan de esa carpeta y vuelvan a entrar en ella... y activen la opción "mostrar archivos ocultos" (nuevamente, si no saben como busquenlo en google), si al activar esta opción no pueden ver el ícono de su archivo entonces están infectados... si pueden ver el ícono de su archivo "transparente" entonces todo está bién.

Una tercera forma de saber si están infectados es por medio del comando attrib del CMD o command. El comando attrib les permitirá ver todos los archivos que poseen un atributo especial en la carpeta en la que se encuentran.

Deberán hacer click en el menú "Inicio" de windows y seleccionar la opción "Ejecutar", en el cuadro de diálogo "Ejecutar" escriban "cmd" sin comillas y presionen la tecla "Enter" o "Intro".

Ahora podrán ver una ventana con la consola de comandos que es muy similar al MS-Dos de hace algunos años (igual y los más nuevos ni la conocían).

En esa ventana verán algo así como "C:\Documents and Settings\Administrador>_" o algo parecido... el caso es que ahí deberán introducir el siguiente texto sin comillas "cd\" y presionar la tecla enter. Y ahora quedará una línea así "C:\>" que les indica que están en la raíz de la unidad "C:"...

Ya que están ahí deberán introducir lo siguiente sin comillas "attrib" y presionar enter. Ahora verán una lista de archivos con atributos especiales... revisen bién la lista y si ven un archivo con el nombre "autorun.inf" entonces están infectados y deberán buscar en google una forma de remover el virus de forma automática si esque son novatos en esto de las computadoras

Y digo que busquen en google porque dependiendo de su variante es la solución que deberán buscar, ya que una herramienta sirve para una variante y si su variande es diferente pues la herramienta no les servirá para nada.

Si son más avanzados y/o quieren aprender un poco entonces lean mi siguiente post para que aprendan de qué forma pueden identificar este virus y todas sus variantes y eliminar cualquiera de sus variantes de forma segura y rápida aunque sea la más nueva y su antivirus no la detecte, y sin necesidad de andar buscando herramientas que aveces dejan el sistema peor (yo usé una que no solo no eliminaba el virus, sino que me modificó el registro de tal manera que los archivos ocultos estaban al mismo tiempo ocultos y visibles y todo funcionaba al reves: on era off y viceverza... fué más difícil arreglar eso que el mismo virus ¬_¬... a final de cuentas son herramientas que cada quien hace a como entienden y quién sabe qué hagan en nuestro sistema)

Aprenderán también, quienes no sepan, lo que es el registro y para qué sirven algunas de sus entradas... lo que es un .dll, y en general a sacarle un poco más de jugo a sus sistemas aquellos quienes solo saben usar el word, navegar y chatear... nunca está demás saber un poco sobre esto... de hecho si más gente supiera lo que mostraré en mi próximo post este virus no habría pasado de infectar las primeras 10 unidades USB...

Saludos y nos vemos en el próximo post.
Nuevo Virus AMVO y/o AVPO (y variantes) Nuevo Virus AMVO y/o AVPO (y variantes) Reviewed by Marco Mavil on 2/03/2008 Rating: 5

4 comentarios

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. La verdad yo siempre estoy a la vanguardia... ya tengo el virus ¬¬ que poca madre!

    Pensaba ahoiritita darle en tutti la macarena a mi compu pero dije: "vo'a ver el blog del nahual este" y fijate!

    Voy a seguir leyendo pa ver si lo puedo quitar. Ójala y ya pueda ver mis archivos ocultos... muahahaha!!

    Saludos.

    P.D: No es por hacer propaganda en blog ajeno, pero visiten:

    http://elblogdeltlatoani.blogspot.com

    ResponderEliminar
  3. Recien me entero que era un virus, pense que era algo mas sofisticado,
    todos los sintoma que se mencionan de amvo.ex los conmparto, pero ademas este .ex tiene conflictos con Delphi cuando esta habilitada la opcion Debugger integrated. ademas este ejecutable se auto instala en el registo en 'run', es decir se carga al inicio de cualquier secion de usuario, si lo desabilitas para que no se carge al inicio(inicio.ejecutar.msconfig),
    se auto habilita, si vas al registro y eliminas su entrada veras que al abrir cualquier disco se auto escribe en el registro, es decir si eliminas su entrada en el registro , volvera a aparecer. una forma que use para que no se cargara al inicio fue cambiar su direccion en el regitro, es decir si era c:\Windows\win32(donde se intala pero no puedes ver ningun icono) lo cambias por c:\Windowssss\win32 ya no se cargara al inicio , no genera conflictos con debugger integrated, pero no podras abrir los discos via mi pc(si es posible inicio.explorar). se donde esta y podria eliminarlo pero.....como habriria los discos?
    ahh no no estoy seguro pero aun si formateas el disco amvo.ex sigue ahi.

    ResponderEliminar
  4. Tienes razón, pero si analizas el post anterior que habla sobre el mismo virus te explico por qué el virus se autoinstala en cuanto accedes tu unidad. El virus crea un archivo autorun.inf oculto en todas tus unidades, ese archivo autorun hace que el virus se ejecute y realice todas sus fechorías en tu sistema cada vez que inicias tu sistema.
    Por esto además de eliminar la referencia del virus en el registro (no cambiarla de ruta sino eliminarla) deberás eliminar este archivo autorun.inf de TODAS tus unidades incluyendo las extraibles (diskets, usb, etc...).

    Si eliminas el virus pero no eliminas el archivo autorun.inf entonces cada que accedas a tu unidad el sistema intentará abrir tu unidad usando el virus asociado que ya no existe. Como no existe te marcará un error y no podrás abrir tu unidad. Si esto te sucede simplemente abre tu unidad por medio del command y borra el archivo "autorun.inf" (del autorun.inf) y si luego de hacer esto sigues teniendo problemas pues simplemente reinicia tu máquina y listo.

    Ahora, sobre lo que mencionas sobre que el virus persiste después de formatear. El virus no sobrevive a una formateada, pero seguramente en tu PC tienes más de un disco duro o más de una partición... cuando formateas tu PC e inicias tu sistema por primera vez, la shell de windows (explorer.exe) accede a todos los discos duros y al acceder una unidad que se te olvidó limpiar y que contiene el archivo autorun.inf y una copia de el virus pues tu sistema se vuelve a infectar completito justo después de la formateada. Por eso parece que sobrevive al formateo aunque no sea así. O si sacaste un respaldo de tu información en una unidad extraible pues justo cuando la conectes te vas a volver a infectar. Por eso te aconsejo que mientras estés limpiando el virus termines el proceso explorer.exe y todo lo hagas por medio del cmd ya que así el aurotun.inf no se ejecuta al acceder a tus unidades... y elimina cualquier autorun que encuentres, así en caso de que el virus sobreviva por lo menos no se activará en tu próximo reinicio de sistema o cuando accedas a tu unidad.

    -Saludos-

    ResponderEliminar