USB-AV Antivirus Virus usbcheck.exe al Descubierto VIRUS USBCHECK.

EXE AL DESCUBIERTO Anilisis desde USB-AV Lab Considerado como uno de los programas malignos ms devastadores de los ltimos aos USBCheck.exe es el nombre del archivo responsable de la rotura de miles de HDD de todas las marcas reconocidas, es un virus que se propaga por las unidades USB aprovechando la vulnerabilidad de Windows de auto ejecucin de archivos (Autorun.inf). EL CONTAGIO: Al insertar una unidad extrable contaminada el programa auto ejecuta el fichero oculto USBCheck.exe por mediacin del archivo autorun.inf como se describe en la imagen. (la ejecucin automtica no ocurre en sistemas que tengan deshabilitada esta opcin, solo se activa al ejecutar manualmente la aplicacin.)

Una vez infectada la PC el virus se hace una copia en la carpeta Windows con el nombre de svchost.exe (simulando un proceso del sistema), esto permite que sea difcil finalizar el proceso desde el Administrador de Tareas y pase inadvertido por la mayora de los usuarios, puede ser identificado ya que es el nico proceso svchost.exe que se ejecuta con privilegios de usuario en vez de sistema.

Como suele ocurrir el programa deja su huella en el Registro de Windows, especficamente en la cadena: HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Modifica el valor Shell agregndole seguido del explorer.exe la ubicacin del virus (svchost.exe)

De este modo se garantiza que sea ejecutado cada vez que reinicia el sistema como si se tratara de un proceso legtimo de Windows. El conteo regresivo del virus se almacena en esta cadena: HKEY_USERS, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Alfa1 PROPAGACIN Cuando el programa reside en memoria vigila cada nueva unidad extrable conectada y le crea sus clones en las races de las mismas: USBCheck.exe y autorun.inf. El virus por si solo no produce ninguna accin visible en los primeros das, solo que va haciendo un conteo regresivo en el registro de Windows hasta llegada la fecha programada para lanzar su ataque final. EL ATAQUE: Luego de pasar varios das en el ordenador y haber cumplido su misin de auto propagacin en varias memorias extrables el programa se prepara para lanzar un ataque a todos los discos fsicos conectados a la PC. Antes del ltimo reinicio del sistema crea dos archivos en la raz de C:\ con el nombre reco.bin y reco.sys.

Estos ficheros conforman un pequeo sistema operativo basado en Linux cuya funcin es ejecutar el cdigo del virus antes que Windows, de esta manera el virus tiene plena libertad para operar directamente con el hardware de la PC sin ser detectado por ningn programa antivirus ni bloqueado por el propio Windows. El archivo reco.bin da las instrucciones para desatar el virus con el siguiente llamado a su compaero reco.sys:

Una vez ejecutado el mini sistema reco.sys el virus identifica todos los discos duros (HDD) conectados al ordenador sean IDE o SATA y procede a la fase de bloqueo con contrasea (ATA PASSWORD) De forma simplificada explico su funcionamiento: Todos los HDD tienen una proteccin adicional establecida como nivel de seguridad por el fabricante para poder proteger la informacin de las unidades en casos de comprometerse la seguridad de algunos sistemas que usan en la actualidad este mecanismo, funciona como medida de prevencin para el acceso a los datos por personas o software malintencionado. Por defecto los HDD destinados a las PC comercial traen las passwords deshabilitadas, el virus aprovecha esta vulnerabilidad para establecer una contrasea a nivel de usuario que impide el acceso total a las informaciones. La mayora de los programas y herramientas comunes usadas para diagnosticar y reparar los HDD no advierten o no saben diferenciar cuando un disco se encuentra bloqueado mediante ATA PASSWORD, simplemente parece que todos sus sectores estn daados y por tanto el usuario da por perdida las informaciones y no tiene ni la ms remota idea de como volver a recuperarlas. RECUPERACIN: Desbloquear una unidad protegida con contrasea es casi imposible de lograr, a no ser que conozca la clave de cualquiera de sus dos niveles USER o MASTER, pero no se preocupen ya nos hemos roto la cabeza por ustedes y les traemos la solucin para remediar el ataque de USBCheck.exe y volver a ver todos sus

datos intactos. En los prximos das estaremos abordando ms en este espacio sobre el tema, pximamente publicaremos una nueva variedad de pldora digital para reparar los HDD daados... HERRAMIENTAS PARA ELIMINAR EL VIRUS DE LA PC INFECTADA: Si usted tiene en su PC el virus y an no se ha desatado la fase destructiva en sus HDD preste mucha atencin y siga estos pasos al pie de la letra: 1. No apague o reinicie su computadora hasta que no la halla desinfectado (Puede ser que el conteo regresivo del virus en su sistema halla llegado al lmite y esta sea la ltima vez que vuelva a ver a sus discos duros funcionando.) 2. Descargue y ejecute la Pldora Digital (DP_USBCheck.exe) que elimina el virus desde este sitio: www.usb-av.com. 3. Haga clic en el botn Escanear PC (si el virus est activo la pldora eliminar de su sistema todo rastro del mismo). 4. Para evitar infectarse de este y otros virus que acceden mediante sus dispositivos USB descargue cuanto antes USB-AV Antivirus www.usb-av.com y mantngalo actualizado de forma diaria si le es posible.