Anda últimamente por nuestro instituto un virus que parece ser de origen ruso y se llama «Worm.BAT.Autorun» o «Trojan dropper-18693» o «PUA.Script.Packed-2» (tiene la costumbre de cambiar continuamente de apariencia, tamaño y nombre, como los virus de la gripe que mutan para engañar a nuestro sistema inmunológico).

En nuestro ordenador puede aparecer como un fichero con nombres como kavo.exe, sm.exe, q9.cmd, yhh.bat, ukvr.bat, 6phx.bat, ntdelect.com,... Tiene siempre en común estas cosas:

- Tamaño alrededor de 103 Kb (nosotros lo hemos visto entre 100 y 104 Kb).
- Oculto (no aparece en los listados normales de ficheros, ni siquiera aunque activemos la visualización de los ficheros ocultos y de sistema).
- Suele estar en el directorio raíz (en C:\ o en D:\), además de propagarse por otras carpetas del disco duro.
- Se graba en los lápices de memoria USB ("pendrives"), y se propaga a otros ordenadores cuando se inserta el lápiz.

Para comprobar si vuestro "pendrive" está infectado, podéis seguir estas instrucciones:

1.- Descargad el fichero SHOW.BAT.
2.- Copiadlo en vuestro pendrive.
3.- Abrid el explorador de archivos o Mi PC.
4.- Ejecutad el fichero SHOW.BAT. No supone ningún riesgo para vuestro "pendrive": podéis abrirlo con el bloc de notas antes para comprobar que sólo contiene un comando para hacer visibles todos los archivos ocultos.
5.- Comprobad si al ejecutarlo aparece algún fichero parecido a ésos que hemos descrito antes; si es así, casi seguro que es el virus. Buscad su nombre en Internet con el Google para aseguraros de que es un virus.

Conviene que antes de borrarlo uséis vuestro antivirus para comprobar si es capaz de detectarlo y borrarlo. Si no es así, cambiad de antivirus. Hay uno gratuito que se llama CLAM ANTIVIRUS. No es el mejor (no comprueba continuamente el disco duro, sólo cuando se lo indicamos), pero es gratis y se actualiza cada cinco días en cuestión de segundos. A veces detecta el virus pero no consigue borrarlo. Entonces pasamos al plan B:

Si tenemos el virus en el "pendrive" y en el ordenador puede ser difícil borrarlo, sobre todo si tenemos dos o más particiones en el disco duro y está en todas ellas, porque al borrarlo de un sitio se vuelve a copiar desde otro al cabo de pocos segundos. Para eliminarlo simultáneamente (o casi) en varias carpetas hay que usar otro fichero .BAT que nos podemos programar a medida:

1.- Descargad y copiad en vuestro "pendrive" el fichero delVirus.bat.
2.- Localizad el virus con ayuda del antivirus o manualmente usando el fichero SHOW.BAT.
3.- Apuntad todas las carpetas y nombres con los que aparece.
4.- Añadid las localizaciones exactas (carpeta y nombre de archivo) en el fichero delVirus.bat.
5.- Ejecutad el fichero fichero delVirus.bat.
6.- Apagad el ordenador lo más rápidamente que podáis, para evitar que si el virus está en la memoria RAM se vuelva a copiar al disco duro.
7.- Esperad un par de minutos y arrancad el ordenador para comprobar que se ha borrado en todas partes. Si no es así, buscad alguna copia del virus que se os haya podido pasar por alto.

Este es contenido del fichero delVirus.bat, como ejemplo:

attrib f:\-s -h -r *.* del f:\sm.exe del f:\autorun.inf attrib -s -h -r c:\windows\system32\kavo.exe del c:\windows\system32\kavo.exe attrib -s -h -r d:\ntdelect.com del d:\ntdelect.com

Muestra todos los ficheros ocultos de la unidad F: (el puerto USB donde conectamos nuestro pendrive) Borra el virus (fichero sm.exe). Borra el fichero de inicio del pendrive donde se ocultan las instrucciones para activar el virus ¹ Muestra un fichero oculto concreto con el virus en una carpeta de Windows (kavo.exe). Borra el virus. Muestra un fichero oculto concreto con el virus en la partición D: del disco duro (ntdelect.com). Borra el virus. ¹ El fichero autorun.inf contiene instrucciones que el virus modifica para ejecutarse automáticamente cuando insertamos nuestro pendrive en un ordenador. Abriéndolo con el bloc de notas nos puede ayudar a ver dónde se esconde el virus. También puede que encontréis este fichero en C: o D: Si os atrevéis, borradlo, pero no podemos garantizar que no pase nada desagradable. Una alternativa más segura es hacer una copia del fichero por si acaso, luego borrar las líneas sospechosas y dejar las demás, y si todo funciona bien ya se puede borrar la copia del fichero original.

JJCC