INHABILITAR VIRUS QUE OCULTA INFORMACIÓN EN MEMORIAS USB


Si estás leyendo esto es porque seguramente te a sucedido que introduces tu memoria USB en alguna computadora con Windows y cuando la abres para ver el contenido te llevas la sorpresa que tus carpetas y/o archivos ya no están y en su lugar solo hay un acceso directo a tu memoria USB.
Es muy molesto que esto suceda mas que nada porque se espera que en la computadora donde se introduce la USB este libre de cualquier virus.


Dentro de este blog he realizado publicaciones acerca de como eliminar el virus Recycler y la variante del virus Recycler, asi mismo publiqué sobre el virus .Trashes.

Hay un "virus" que hace lo mismo que los anteriores con sus respectivas variantes, si bien no es nuevo porque ya tiene como dos años que anda sucediendo esto y el motivo por el cual hago este post es porque dentro de mi área de trabajo algunos equipos han sido infectados, lo cual no me gusta y me di a la tarea de investigar su funcionamiento así como el de evitar que alguna memoria USB que este limpia se infecte y contribuya a distribuirlo.

Cómo funciona...
Este "virus" lo primero que hace cuando se introduce una memoria USB limpia o infectada, es que primero crea una carpeta sin nombre y en ella pone todas las carpetas y archivos de nuestra memoria USB, además de eso crea los siguientes archivos...

Un archivo llamado desktop.ini, el cual hace referencia a un archivo llamado SHELL32.dll, que es capaz de grabar entradas de teclado y ratón. Por lo tanto la calificación técnica de seguridad es 16% peligrosa, además de que no es esencial en el uso y desempeño de los sistemas operativos Windows.

El otro archivo que crea es uno llamado IndexerVolumneGrid que sirve como identificador de la unidad extraíble. Windows le da una id, y mantiene de forma local la lista de archivos para búsquedas y reconexiones posteriores.

El tercer archivo que crea no tiene nombre ni extensión predefinida, es decir, su nombre siempre es aleatorio. Desconozco cual sea la función de este archivo pero al menos es un archivo con un nombre raro, y podemos identificarlo fácilmente.



Cómo visualizar mis archivos ocultos...
En la publicación de Cómo eliminar el Virus Recycler ahí encontrarás como visualizarlos utilizando el CMD.

Una vez que hayas ejecutado el comando para poder visualizar tus carpetas y archivos y ocultos en tu memoria USB, observarás lo siguiente: Una carpeta sin nombre y un acceso directo a tu memoria.

Dentro de la carpeta sin nombre encontrarás tus carpetas y archivos ocultos así como los archivos desktop.ini, IndexerVolumneGrid, y el archivo con el nombre y extensión aleatorio.

Evitar que se copie el archivo a la memoria USB
El método que te mostraré para evitar que se oculte tu información de tu memoria USB a mi me ha funcionado. Lo he probado en varios equipos infectados, inclusive me fui a un local donde rentan equipos para conectarse a Internet, pues en dichos lugares las probabilidades de que las memorias se infecten son muy altas.

Basándome en la lógica que utilizo en las publicaciones anteriormente mencionadas, se me ocurrió crear un archivo sin nombre y sin extensión, el cual hará la función de la carpeta sin nombre; entonces ese archivo se pone dentro de la memoria USB (previamente formateada y limpia de cualquier archivo), se le cambian los propiedades del archivo, a que solo sea de solo lectura, oculto y archivo del sistema.

Para facilitarte la aplicación de esta medida de seguridad pongo a tu disposición el enlace para la descarga. Viene dentro de un archivo llamado ArchivoVacio.zip. Lo único que debes hacer es extraer su contenido y ponerlo en tu memoria usb.

Te recomiendo que una vez que lo hayas puesto en tu memoria USB le cambies las propiedades a dicho archivo.



Lo que se gana con este método que te muestro es que cuando se introduzca la memoria USB a un equipo infectado, el "virus" intentará crear una carpeta sin nombre pero al haber algo con el "mismo nombre" ya no continuará ejecutándose y no se implantará en nuestro dispositivo de almacenamiento.

Como dato final, debes tomar en cuenta que esto solo es un método para evitar que se infecten los dispositivos de almacenamiento pero si aun crees que tu computadora pueda estar infectada te recomiendo la analices con tu antivirus para una detección de amenazas.

Espero que esta información te haya sido de utilidad y si crees que a alguien mas le puedes ser útil compartela.