Andromeda

Un nuevo virus est causando estragos en los PC de Latinoamrica con SO Windows. Clasificado
comoBackdoor, ya lleva un ao haciendo de las suyas, tiene ms nombres que Satans y a la
fecha,

de

acuerdo

a Virus

Total,

solo

unos

pocos

antivirus

pueden

detectarlo.

A diferencia de la mayora de virus, Andrmeda no se aloja en el arranque de Windows, lo cual

hace ms difcil su desactivacin. Si en un equipo infestado ejecutamos regedit, veremos que en la
clave Run no

hay

nada

sospechoso.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Algo similar sucede si ejecutamos msconfig y revisamos la pestaa inicio. Nada que indique su
presencia.
Su modus operandi no es igual en cada equipo. Cuando infecta una memoria, desaparece toda la
informacin (siguiendo el patrn de los virus acceso directo (.lnk)), con la diferencia de que
mueve toda la informacin del dispositivo usb hacia una carpeta oculta "sin nombre", y deja visible
solamente un acceso directo que toma el nombre del dispositivo usb y luego, entre parntesis, la
capacidad

del

mismo.

Ejemplo:

CARLOS

(4GB).lnk,

ALEIDA

(2GB).lnk, TRANSCEND (2GB).lnk, KINGSTON (8GB).lnk etc, y oculta los dems archivos que es
donde

corre

el

veneno,

comprometiendo

seriamente

a rundll32.

(C:\WINDOWS\system32\rundll32.exe).
Tambin han aparecido muchas variantes de este virus, como la ms reciente JS.Proslikefan.8,
que crea una carpeta oculta llamada .Trashes, la cual contiene los archivos eliminados de la raz.
Sacar de la memoria Andrmeda y sus variantes es relativamente sencillo. Basta insertar el
dispositivo

usb (pendrive) contaminado en un PC con

Linux,

o con Windows con

el Autorun desactivado (PACK para WinXP/Vista/7/8. Para otros mtodos de desactivar autorun
en

Win8

pulse AQUI)

correr

un .bat que

Descarga: REPARAVIRUS.bat (Update

tenga

las

siguientes

instrucciones:

Ago

20/2015)

Nota: No agreguen la extensin .bat o se eliminar a s mismo. Los .bat maliciosos, los eliminan
manualmente. Copiarlo a la raz de la usb y ejecutarlo SIN privilegios de administrador
@echo off
title Memoria Flash
color 1E
@echo ---------------------------------------------------@echo -------- REPARACION DE ARCHIVOS MEMORIA USB -------@echo ------- by Maravento.com. Update Ago 13 2015 ------@echo ---------------------------------------------------@echo Cambiando Atributos de Carpetas y Archivos...
Attrib /d /s -r -h -s *.*
@echo OK
@echo ---------------------------------------------------@echo Eliminado Autorun y Malware...
del /f *.lnk *.inf *.init *.ini *.FAT *.nil *.qbl *.NRY *.A 2>NUL
del /f *.vbs *.vbe *.tmp *.js *.db *.WsF *.exe *.sys *.pif 2>NUL
del /f *.xxc *.com *.bcin *.htm *.dll *.OQY *.OA* *.C *.O 2>NUL
del /f *.AMC *.DNK *.NB* *.NC* *.AG* *.OAE *.IF *.KW *.LE 2>NUL
del /f *.LF *.BJ *.NMP *.NNU *.ODJ *.ONE *.PDM *.SAI *.OCR 2>NUL

del /f *.OCQ *.NER *.AA *.AB *.NBU *.WPI *.sqm *.GU *.NAQ 2>NUL
@echo OK
@echo ---------------------------------------------------@echo Recuperando datos...
@echo off
chcp 1251
if exist " " ren " " data
if exist ".Trashes" ren ".Trashes" datos
@echo OK. Revise las carpetas data o datos
@echo ---------------------------------------------------pause
El script consiste en desbloquear los archivos en la usb, cambindole los atributos, luego elimina el
virus y su arranque y por ltimo, recupera los datos, renombrando la carpeta sin nombre (alt 016 o
alt 255) generada por el virus, por otra llamada data. Tambin aplica para la carpeta .Trashes
Al finalizar la operacin, pueden acceder a las carpetas data, datos (o ambas) y ah encontrarn
toda la informacin que estaba en su dispositivo usb antes de que fuera afectado por Andrmeda o
alguna de sus variantes. Si esta operacin falla en alguno de sus puntos, puede hacerlo
manualmente.
Recomendaciones:
Andrmeda, en ocasiones, no transfiere toda la informacin a la carpeta sin nombre. Verifique las
carpetas que quedan en la raz de su dispositivo usb y elimine cualquier carpeta o archivo diferente
a la carpeta data, datos (o ambas), siempre y cuando se asegure que en su interior no hay
informacin de propiedad del usuario. Si su dispositivo usb tiene particin NTFS no elimine las
carpetas $RECYCLE.BIN (RECYCLER para XP) y System Volume Information, pero s su
contenido.
Si el .bat no puede eliminar el autorun.inf de la raz de su dispositivo usb, o cualquier otro archivo,

puede desbloquearlo y eliminarlo con el programa Unlocker o cerrar el explorador de windows y

reabrirlo (Ctrl+Alt+Supr, Administrador de Tareas, cerrar explorer.exe y luego nueva tarea
explorer.exe.

Tambin

puede

reiniciar

su

Windows

en

Modo

seguro)

Para el caso de la variante JS.Proslikefan.8, al terminar de correr el script exitosamente debe

revisar todas las carpetas, en especial aquellas que tienen como nombre un nmero y verificar su
contenido. En el caso de que detecte la presencia de algn archivo con extensin .js (Javascript)
deber

eliminarlo

de

inmediato.

Si desea agregarle ms parmetros de borrado a su script (/p, etc), puede consultarlos AQUI
Andrmeda en Windows
Para sacarlo del PC es un poco ms complicado, ya que toma diversas formas, nombres y
extensin, as como se ubica en lugares diferentes.
Pasos

1. Inicie su PC y desactive su antivirus,

firewall

y/o

cualquier

proteccin

que

tenga

el

equipo

2. Elimine los archivos temporales con el script CLEARTEMP.bat, cortesa de Hiren's BootCD
3. Descargue el antivirus Dr Web CureIt Portable y escanee su PC. (La imagen de la izquierda
muestra cmo detecta el virus). Una vez termine el escaneo, puede proceder a eliminarlo. Si
despus de eliminado vuelve a salir y contaminar dispositivos usb, es porque estamos en
presencia de alguna variante persistente. En este caso, no intente seguir eliminndolo; copie la ruta
donde se encuentra el virus (que sale en el escaneo que realiza DrWeb CureIt) y gurdela en el
bloc de notas. Luego reinicie su PC con un Live CD de Windows o Linux (Recomendamos el que
viene integrado en la suite Hiren's BootCD). Vaya a la ruta donde se encuentra el virus (que
anteriormente guard en el bloc de notas) y elimnelo manualmente. Al finalizar reinicie su PC

4. Descargue Malwarebytes Portable v2x (si

dispone de Internet, actualice antes de escanear). En la pestaa Escner, realice un Anlisis
Rpido (seleccionando todos los discos conectados a tu PC). Una vez finalizado, pulsar sobre
"Mostrar los Resultados" y "Eliminar Seleccionadas", (como se demuestra en la imagen a la
derecha). Con esto se eliminan las claves de registro afectadas. Para finalizar, reinicie su PC.
Como

alternativa

puede

utilizar Kaspersky

TDSSKiller y adwcleaner

Ubicacin
Las diferentes variantes del Backdoor Andrmeda normalmente crean una carpeta llamada Local
Setting dentro de la/s cuenta/s de usuario/s de Windows, o dentro de Program Data (aunque
puede alojarse en otro lugar), por tanto debe borrar la carpeta Local Setting (Con un LiveCD), que
contiene casi siempre un nico archivo. Ejemplos de ubicaciones del Backdoor Andrmeda:
c:\users\angela\local setting\temp\ccotce.cmd
c:\programdata\local settings\temp\ccjmvywo.src
C:\\Users\\CULTURA\\LOCALS~1\\Temp\\ccqartou.com
Elimine tambin el contenido de las carpetas de reciclaje ($RECYCLE.BIN, etc) en todas las
unidades primarias y lgicas de su PC. Finalmente, inicie Windows normalmente y corra el
programa de su preferencia para corregir el registro (Glary, CCleaner, Little Registry Cleaner, etc) y
actualice su antivirus. Tambin corrija la siguiente clave en el REGEDIT con el valor 1, tal y como
se muestra abajo:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"UserSelectedDefault"=dword:00000001