8 replies to this topic

[escafandra]

Como sabéis hay oleadas de infecciones USB del tipo RECYCLER, familiares, amigos y compañeros me encargan la limpieza de sus desafortunados dispositivos, pero vuelven a picar.
 
El virus RECYCLER y variantes ocultan las carpetas del directorio raiz de los medios extraíbles y en su lugar colocan accesos directos que apuntan al virus, para que al abrirlo (pensando que es la carpeta original) infecte el PC. Los incautos y poco observadores abrirán de ese modo sus carpetas infectando cada PC que encuentren a su paso.
 
Cansado de reparar a mano unidades USB infectadas con virus de ese tipo, decidí automatizar el sistema de forma que se visualicen las carpetas ocultas y se borren todos aquellos accesos directos cuyo contenido tenga la palabra “recycler”. Posteriormente vacuna la unidad escribiendo una carpeta llamada Recycler y un archivo llamado autorun.inf. Los atributos de archivo son convenientemente alterados para evitar que el virus los borre o reescriba en una posible nueva infección. El sistema usado para ello es mediante escritura a “pelo” en FAT16 o FAT32. De esto se habló aquí y aquí. Lo que hago es marcar como archivo bloqueado la carpeta recycler y como carpeta bloqueada el archivo autorun.inf. He utilizado el mismo código que publiqué en este último enlace, una API para trabajar con FAT16 y FAT32. Si el virus no sabe como deshacer esto, no podrá infectar nuestro pendrive.
 
Tras la vacuna, el programa configura el PC para evitar el AutoRun al conectar dispositivos extraíbles y repara los ganchos al registro para archivos ejecutables.
 
Expongo el código principal:

cpp

void __fastcall TForm1::Button1Click(TObject *Sender)
{
  Memo1->Lines->Clear();
  Memo1->Lines->Add("COMENZAMOS EL TRABAJO, \r\nNO SAQUE SU PENDRIVE HASTA QUE TERMINEMOS.\r\n");
 
  // Enumerando unidades extraibles
  char Drive[] = "A:\\";
  char* D = Drive;
  for(; *D <= 'Z'; (*D)++){
    if(GetDriveType(Drive) == DRIVE_REMOVABLE){
      Memo1->Lines->Add("Limpiando unidad: " + String(Drive));
      Memo1->Lines->Add("  Visualizando carpetas ocultas...");
      SetAttribute(Drive, FILE_ATTRIBUTE_NORMAL, false);
      Memo1->Lines->Add("  Borrando Accesos directos infectados...");
      DeleteRecyclerLnk(Drive);
 
      String File;
      Memo1->Lines->Add("  Vacunando autorun.inf...");
      File = String(Drive) + "autorun.inf";
      SetFileAttrFAT(File.c_str(), 0);
      RemoveDir(File);
      DeleteFile(File);
      FileClose(FileCreate(File));
      SetFileAttrFAT(File.c_str(), ATTR_DIRECTORY | ATTR_DEVICE | ATTR_HIDDEN);
 
      Memo1->Lines->Add("  Vacunando Carpeta Recycler");
      File = String(Drive) + "Recycler";
      SetFileAttrFAT(File.c_str(), 0);
      RemoveDir(File);
      DeleteFile(File);
      CreateDir(File);
      SetFileAttrFAT(File.c_str(), ATTR_ARCHIVE | ATTR_DEVICE | ATTR_HIDDEN);
 
      Memo1->Lines->Add("");
    }
  }
 
  // Reparando el registro del PC
  HKEY hKey;
  if(Ch_NoAutoRun->Checked){
    // NoDriveTypeAutoRun
    Memo1->Lines->Add("NoDriveTypeAutoRun");
    if(RegCreateKey(HKEY_LOCAL_MACHINE, "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer", &hKey)==ERROR_SUCCESS){
      DWORD Data = 0x000000FF;
      RegSetValueEx(hKey, "NoDriveTypeAutoRun", 0, REG_DWORD, (PBYTE)&Data, sizeof(DWORD));
      RegCloseKey(hKey);
    }
  }
 
  // UnhookRegKey
  Memo1->Lines->Add("UnhookRegKey");
  char Val[] = "\"%1\" %*";
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\batfile\\shell\\open\\command", 0, Val);
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\comfile\\shell\\open\\command", 0, Val);
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\exefile\\shell\\open\\command", 0, Val);
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\piffile\\shell\\open\\command", 0, Val);
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\scrfile\\shell\\open\\command", 0, Val);
  SetStrValue(HKEY_LOCAL_MACHINE, "Software\\CLASSES\\regfile\\shell\\open\\command", 0, "regedit.exe %1");
 
  // Unlock Registry
  Memo1->Lines->Add("Unlock Registry");
  if(RegCreateKey(HKEY_CURRENT_USER, "Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System", &hKey)==ERROR_SUCCESS){
    RegDeleteValue(hKey, "DisableRegistryTools");
    RegCloseKey(hKey);
  }
 
  Memo1->Lines->Add("\r\nTRABAJO TERMINADO");
}

El código está escrito en BCB5 y como suelo hacer, las partes más sensibles están escritas con la API de Windows

Subo el código completo con fuente y binario.
 
 
Saludos.

Attached Files

•  ReparaRecycler.zip   187.82KB   17 downloads

[egostar]

Hace unos años éste virus fué muy latoso para mi, clientes, amigos y familia tuvieron un problema de éstos y com dices, me encargaban la limpieza de sus USB, debí haber tenido algo como ésto.

 

Saludos

[escafandra]

Hace unos años éste virus fué muy latoso para mi, clientes, amigos y familia tuvieron un problema de éstos y com dices, me encargaban la limpieza de sus USB, debí haber tenido algo como ésto.

 

Saludos

Pues es lo que comentaba, entonces no lo automaticé. Aunque parezca mentira, en estos días vuelvo a ver el mismo problema, ese es el motivo por el que me decidí a hacer la utilidad, repartirla y que me dejen más tranquilo.

 

 

Saludos.

[poliburro]

Gracias por este valioso aporte amigo.

[Wilson]

Muy buen aporte, muchas gracias. 

[cram]

Gracias por el dato. Conozco algunas personas que utilizan algunos programas utilitarios que hacen algo parecido. Aunque ver el código fuente es mucho mejor.

Te comento que varias veces reparé esos "pendrives" e incluso discos externos, en los que tenían infecciones similares.

Por ejemplo existe uno que cambia los atributos de los archivos para que no sea visto, la mayoría de los usuarios es incapaz dse solucionarlo y piensan que perdieron sus datos.

Confiadísimo, conecto la memoria a mi PC con antivirus para que los elimine y luego corrijo los atributos con el cmd.

Existe otro que los deja como si fuese una carpeta y eso sí es un desastre.

 

No me jacto, pero tengo una PC que no conoce virus desde casi cuando la compré.

 

Saludos.

[escafandra]

Esta utilidad también limpiará discos externos o incluso smartphones, que también se pueden infectar al connectarlos al usb.

 

Si te fijas en el código, elimina los falsos accesos directos que apuntan a recycler, repara los atributos que ocultan las carpetas originales, vacía autorún.inf y la carpeta Recycler, que no tiene que aparecer en un pendrive, aunque si en un disco duro extraíble. Esos virus registran esa carpeta como una papelera en el PC infectado, pero no en uno sano, con lo que el contenido que normalmente ve un PC infectado es la papelera de reciclaje del disco C. Un PC sano verá el virus, que es donde se aloja para propagar su infección y de ello se encargará el autorun.inf que también se escribe en la raíz del pendrive. Cierto es que un efecto secundario de borrar la carpeta recycler en que se borrarán todos los archivos que contenga.

 

Finalmente la utilidad altera el atributo de archivo y carpeta de Recycler (la marca como archivo) y autorun.inf (la marca como carpeta) y cambia un atributo específico de unidades FAT 16 y 32 para que el S.O. (y por tanto el virus) no puedan acceder a ellos (a no ser que realicen el proceso inverso que hace el código) de esta forma se trata de dificultar una nueva infección del pendrive.

 

Con el código fuente en la mano, que cada cual lo modifique a su gusto.

 

 

Saludos.

[jdepaz]

¡Qué gran aporte!, Gracias.

[djkjallo]

Gracias por el aporte..