El virus del acceso directo, pesadilla de las memorias USB

Hay virus que infectan el PC a través de las memorias USB. Se reconocen por la creación de misteriosos accesos directos. Te enseñamos cómo detectarlos y borrarlos.

Antaño la vía de propagación favorita de los virus eran los disquetes. Su heredero es la memoria USB, que se usa para mover una gran cantidad de datos cuando no se dispone de una conexión rápida. La popularidad de los pendrives ha atraído a los autores de virus, que aprovechan vulnerabilidades para usar las memorias como "jeringuilla".

Dos de los síntomas más destacados de la infección a través de memorias USB son la aparición de accesos directos misteriosos y la desaparición de carpetas. Esto ha llevado a hablar de un “virus del acceso directo” o “virus de la carpeta oculta”. No estamos, sin embargo, ante un solo virus o familia, sino ante un síntoma común de muchos virus.

¿Qué hace un virus de acceso directo?

Los virus que atacan desde memorias USB aprovechan un error de diseño de Windows que consiste en ejecutar código malicioso insertado en un acceso directo. Al mismo tiempo, estos virus ocultan carpetas. El propósito de esa acción no es claro, pero el efecto sí: mucha gente se asusta ante la desaparición de sus documentos.

Virus como Changeup, Ramnit o el temible Stuxnet consiguen saltarse los controles de seguridad gracias a esta técnica. Algunos roban datos, otro convierten el PC en un zombi. Hemos probado uno de ellos, W32/Dorkbot, para ver qué ocurre durante la infección y comprobar qué técnica es la más eficaz para quitarlo.

Y las carpetas desaparecieron

El archivo ejecutable de Dorkbot suele distribuirse a través de chat como archivo adjunto. Lo abrimos en un PC limpio con Windows 7 al que habíamos conectado una memoria USB con carpetas y archivos convencionales. Al cabo de unos segundos, la ventana del pendrive se cerró sin que hiciéramos nada.


El ejecutable del virus. Parece inocuo, ¿verdad?
Al volver a conectar la memoria, vimos que las carpetas habían sido reemplazadas por accesos directos de aspecto extraño. Dorkbot mueve todos los archivos a una carpeta sin nombre que aprovecha para ejecutarse. Si borrases el acceso directo, sería como si estuvieras eliminando también los documentos. ¿Qué hacer?

Al abrir el acceso directo, el virus se ejecuta a la vez que muestra las carpetas originales

¿Cómo se recuperan los archivos?

Lo más probable es que los archivos todavía estén en la memoria USB, pero antes es mejor que elimines el virus. La vía más rápida y sencilla de eliminar la infección y recuperar los archivos es a través de un antivirus USB, como UsbFix, AMIR Antivirus o MCShield. Para la prueba usamos el gratuito MCShield.

Al terminar la instalación, MCShield efectúa una limpieza automática de las memorias conectadas. También se puede solicitar un escaneo manual desde el Analizador. En el caso de nuestra memoria USB infectada, MCShield tardó solo seis segundos en eliminar el virus y hacer que las carpetas volviesen a ser visibles.

El registro de eventos de MCShield explica qué se ha eliminado y qué se ha recuperado
Cuando abrimos la memoria USB tras la limpieza, ahí estaban las carpetas. No tuvimos que abrir ninguna línea de comandos ni tampoco desbloquear archivos. MCShield, diseñado para eliminar los virus USB, se encarga de todo lo necesario. Por si acaso, también pasamos un escaneo de sistema con Malwarebytes.

Comentarios

Entradas populares de este blog

Ejercita tu cerebro con estas siete actividades

Sample Focus, una sencilla web para descargar muestras de sonidos

Edita todas tus fotografías a la vez gracias al procesado por lotes