miércoles, 24 de septiembre de 2008

Eliminar Virus MSCS.PIF, WUAUCLT.EXE

Al parecer este virus no viene solo, trae consigo otro virus de nombre WUAUCLT.exe el cual se da atributos de oculto aprovechándose de que no podemos ver los procesos que se inician por medio del MSCONFIG y el REGEDIT.
Además de impedir el acceso al regedit y al msconfig el virus elimina ciertas claves del registro de windows impidiendo que el PC se inicie en Modo Seguro o en Modo aprueba de Fallos. tenemos una aplicación que elimina el virus en forma automática y restaura el registro de Windows.

Me llego un Equipo Con este virus Procedí a revisar el equipo y lo primero que hice:

1.Intentar acceder al MSCONFIG, y me salía un mensaje de error:

Ósea no pude entrar al msconfig para ver qué programas se están cargando al inicio. Es, muy sospechoso.

2.Ok, intenté luego acceder al Editor del Registro Regedit.exe y el siguiente mensaje nuevamente:

Esto fue muy Molesto.
3.Dije, bueno hay herramientas que también permiten visualizar los programas que se cargan junto con window, los más comunes que uso son el Hijackthis :

http://majorgeeks.com/download3155.html

o usando el A2Hijackfree:

http://download3.emsisoft.com/a2HiJackFree.exe
Así que las descargué y ejecuté.
Pero para mi sorpresa, antes de que pueda ver algo, se me cerraban las ventanas automáticamente!!!

4.Bueno, luego intenté reiniciar en modo a prueba de fallos y tampoco podía acceder, se reiniciaba automáticamente mostrando antes una pantalla azul de error, la tan conocida Pantalla Azul de la Muerte (BSOD-Blue Screen Of Death).
Bueno, luego intenté por la Línea de comandos para ver si podía encontrar algo.
Haciendo un listado en la unidad C: encontré 2 archivos SUPER Sospechosos: MSCS.PIF y el autorun.inf, Ambos ocultos como archivos de sistema.
Al editar el autorun.inf direcciona al archivo MSCF.PIF !!
No hay duda, éste es un virus, pero hay que ver si en realidad está activo y si es al causante de mis irritaciones.
Así que me descargo el Process Explorer de Mark Russinovich y visualizo los procesos activos y veo un archivo llamado WUAUCLT.EXE.
Esto automáticamente me remonta en memorias a los tiempos de Microsoft Windows Millenium Edition. El archivo WUAUCLT.EXE era un archivo que servía para hacer las actualizaciones en Windows Millenium, en los sistemas operativos posteriores: 2000, 2003 y XP este archivo está aún en la carpeta C:\windows\system32\ con los siguiente nombres:
•wuauclt.exe
•wuauclt1.exe
SIN EMBARGO, no se usan más como procesos padres!! Así que no deberían estar más activos, a no ser que estén activadas las actualizaciones automáticas, si están activadas, este virus lo sobrescribe y de este modo se activa en cada momento.

Así que es un sospechoso, de estar activo en Windows XP Professional XP2!!!.
Procedo a ver los detalles del proceso WUAUCLT y me muestra lo siguiente:




Así que no me cabe más duda, el virus activo es el MSCS.PIF que usa una imagen del mismo virus llamado WUAUCLT.EXE
Así que procedo a sacar una copia de estos virus - para mi colección y análisis - jeje. Y lo pruebo en un máquina virtual para ver qué cosas hace en el sistema afectado y de este modo, conociendo cómo funciona, hacer la vacuna adecuada.
Como lo puedes ver en la imagen siguiente, tengo el virus en la máquina virtual y previamente antes de ejecutar el virus, primero hago un listado para ver si hay archivos con el mismo nombre en C:\windows\system32
Vemos el listado y tenemos los 2 archivos como mencioné líneas arriba. Los 2 archivos mencionados.

Procedo luego a sacar un backup de mi registro usando el Advanced Registry Monitor:
Y procedo a ejecutar el virus, luego de ejecutar el virus hago nuevamente un listado en c:\windows\system32 y me sale lo siguiente, osea el archivo wuauclt.exe anterior ha sido reemplazo por otro con el mismo nombre pero de tamaño diferente: 15893 bytes, aproximadamente 15 Kilobytes.

Luego procedo a sacar otro backup del registro ósea estando ya el virus activo en mi máquina virtual para compararlo con el Backup anterior y ver qué modificaciones ha hecho el virus en mi máquina. Al hacer la comparación me muestra que hay 5 claves del registro borradas (apuntada por la flecha) y en el cuadro rojo grande vemos las 4 claves que fueron borradas. Esto es muy interesante, ya que exactamente estás claves en el registro son las que definen que se cargue la unidad de inicio cuando se accede en el Modo Seguro o en el Modo a prueba de Fallos.

Con estas claves borradas el virus se asegura que NO puedas iniciar en el Modo Seguro, esta es la razón por la cual en las máquina infectadas con este virus, no se puede acceder al modo Seguro.

Ahora en la claves o valores agregados se ha creado un valor llamado Explorer que apunta al archivo de virus WUAUCLT.EXE en la clave:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
De este modo, se asegura de iniciarse cada vez que inicie el sistema.
En el cuadro azul se muestra las entrada creadas para interceptar la ejecución de los siguientes programas y ejecutarse, y evitar que otros procesos los usen:

Esto lo logra creando el valor llamado Debugger para cada programa, entre ellos varios motores de antivirus conocidos e incluso el MSCONFIG y el REGEDIT de modo que cuando alguno de los programa de la lista intenten ejecutarse, no se ejecuten.


Esa es la causa por la que sale el error descrito arriba cuando se intenta ejecutar el REGEDIT.EXE y el MSCONFIG.EXE.

Ahora en la sección de Datos y Valores modificados el cuadro en azul muestra como el valor Checked ha pasado de ser “1” (Antes de la ejecución del virus) a ser el valor “2” (después de la ejecución del virus).
Con esto el virus evita que se muestren los archivos ocultos, ya que los ejecutables del virus se han auto atribuido características de archivos ocultos (H), y Sistema (S).

Ahora, usando el Monitor de Procesos de Mark Russinovich, vemos las acciones que ha realizado el archivo MSCS.PIF al ser ejecutado, como se puede ver en la imagen crea archivos en todas las unidades:
• autorun.inf
• MSCS.PIF
Con esto está infectando las unidades de modo que se ejecuten en todas las unidades el virus usando la característica del Inicio Automático (AutoRun).

Y luego les pone atributos de Sistema y Ocultos (H y S)

Y por último, el virus también crea 2 copias de sí mismo en las siguientes carpetas:
•C:\windows\system32 ——-> wuauclt.exe
•C:\windows\System32\dllcache –> wuauclt.exe

Señores, de este modo conociendo cómo actúa este virus, se ha elaborado una vacuna que:

1.Elimina el virus y sus “hijos”
2.Restaura el Registro de sistema para poder acceder al Modo Seguro
3.Restaura el Registro para poder ejecutar nuevamente los programas “bloqueado” como el msconfig, regedit, procesos de antivirus bloqueados, etc.
4.Restaura el Registro para poder ver los archivos ocultos y de sistema nuevamente.
Espero la disfruten y les ayude.

Recomiendo también que ejecuten la vacuna una vez más después de reiniciar, para asegurar la completa eliminación de los rastros del virus.
La vacuna que se diseño para este virus la puedes descargar de aquí:

Debes descargar el archivo comprimido y descomprimir a una carpeta el contenido, luego debes hacer doble click en el archivo mata_mscs.vbs y el programa limpiará tu sistema de este molestoso virus.

DESCARGA

10 comentarios:

  1. No puedo descargar el Utilitario... favor darme otro Link... Luizacho

    ResponderEliminar
  2. Hola, me parece que esta muy bien el analisis pero este ya lo habian hecho en la pagina www.mygeekside.com y seria bueno que se agregaran mas...

    ResponderEliminar
  3. Deberias poner la fuente, no hacer una copia simplemente, y tal cual como la de mygeekside, es mas ni fuiste capaz de editar/cambiar las imágenes que él utilizó

    ResponderEliminar
  4. en tu puta vida lo haz hecho y ya estas posteando cabron!!!!!

    ResponderEliminar
  5. Hola!!
    Muchas gracias por toda la ayuda!!!!!! gente como usted hace que el mundo sea mas facil. Es increible su blog deberia darle algun premio por lo menos....mil gracias. Eva

    ResponderEliminar
  6. Deberias poner la fuente, no hacer una copia simplemente,y tal cual como la de mygeekside, es mas ni fuiste capaz de editar/cambiar las imágenes que él utilizó

    ResponderEliminar
  7. taz pendejo!!!... no sabes nada ocupas la informacion de los demas q mal pedo eres una mamada we

    ResponderEliminar
  8. no sirve. hay nuevas variantes que estas herramientas quedan obsoletas

    ResponderEliminar
  9. yo lo ejecute y se daño mi compu a cada 5 seg sale que hay un problema de excepcion!!!!


    Ashhh!!!!

    Ayuda xfa

    ResponderEliminar
  10. yo estaba cureoseando en el administrador de tareas porque la pc estaba lenta,ahi descubrí el archivo wuauclt.exe y al ver que era (en internet) llegué a esta pagina donde vi la solucion,descargué el programa y lo ejecuté,asi que ahora la pc funciona re joya!!! gracias totales..

    ResponderEliminar