Dando soporte técnico a un usuario en el sitio en el que laboro me encontré con un programa mal intencionado llamado defrostbeve.exe, me dí a la tarea de investigar en la red pero no encontré nada de información al respecto, realmente no se cual es el propósito de la amenaza pero logré eliminarla con éxito aplicando los siguientes pasos:
Síntomas
Antes de comenzar el proceso de eliminación es necesario mencionar cuales son los síntomas que encontré en el equipo en cuestión; al querer ver los archivos contenidos en una memoria USB (pendrive) noté que algo se ejecutaba debido a que el puntero del mouse se convertía en reloj de arena por unos segundos y seguido de ello no sucedía nada. Para ver el contenido de la memoria era necesario dar click derecho sobre su icono y seleccionar a la opción "Explorar". Este síntoma es muy común cuando existe un archivo de ejecución automática "autorun.inf" en la raíz de cualquier dispositivo extraible.
Proceso de eliminación
Importante!! Si no estás seguro de poder realizar este procedimiento asesorate con alguna persona que entienda el tema.
1.- Limpieza de la memoria USB o Pendrive
En la linea de comandos me ubiqué en la letra que hacía referencia a la memoria (en ese caso era E: pero puede ser cualquiera que el sistema asigne según sea el caso) una vez en E:\ ejecuté el comando "attrib" para verificar si existían archivos ocultos, encontré el archivo "autorun.inf" tenía los atributos SHR, es decir estaba asociado como archivo de sistema (S), como de solo lectura (R) y oculto (H). Para dejarlo vulnerable realicé lo siguiente:
En la linea de comandos ejecuté: E:\attrib -s -h -r autorun.inf
Seguido de ello lo eliminé utilizando el comando "del": E:\del autorun.inf
Nota: Después de realizar esto no intentar explorar el contenido del pendrive porque al realizarlo se volverá a crear el archivo "autorun.inf", en caso de que esto suceda repetir los pasos anteriores.
2.- Limpieza del sistema
a) Ejecutar "msconfig", una vez ahi ir a la pestaña "Inicio de Windows" ahi desactivar la ejecución al inicio de "defrostbeve.exe" darle al botón aplicar y luego aceptar.
b) Ejecutar "regedit" y en el menú "edición" seleccionar "buscar" y realizar un búsqueda en el registro de "defrostbeve.exe" OJO la búsqueda va a arrojar varios resultados entre ellos una referencia directa al programa buscado, no eliminar mas que esa llave si no podrías tener problemas en tu sistema operativo.
c) Abre una linea de comandos y situate en C:\Windows una vez ahí ejecuta el comando "attrib"
C:\attrib
Deverás encontrar el archivo buscado en los resultados posteriores a la ejecución del comando con los mismos atributor que tenía autorun.inf en la sección de limpieza del Pendrive, es decir estará como archivo de sistema (S), oculto (H) y solo lectura (R), para dejarlo vulnerable realizaremos el mismo procedimiento:
C:\windows attrib -s -h -r defrostbeve.exe
Seguido de ello lo eliminamos
C:\windows del defrostbeve.exe
Cerrar la linea de comandos
Reiniciar el equipo.
Para probar si todo salió bien nos vamos a explorar el contenido del Pendrive y si todo se ejecuta con normalidad ya hemos eliminado esta amenaza.
Espero este articulo sea de utilidad.
Para cualquier duda o comentario contactarme en mis sitios de redes sociales o a mi correo electrónico.
Facebook: PCWorkshop
Twitter: @josesauri
Correo electrónico: jose.luis.sauri@gmail.com
No hay comentarios:
Publicar un comentario