Como sabemos actualmente uno de los ” malware” que se están propagando por todo el mundo es el famoso variante de ” Peyta / Not Peyta ” conocido como Bad Rabitt.
Este virus se distribuye através de una falsa actualización de ” Flash ” primero infecta los archivos del usuario y posteriormente modifica el MBR , finalizado realiza un reinicio de la computadora mostrando la siguiente pantalla .
Imagen donde se aprecia la ” falsa aplicación ” disfrazada en el ejecutable
En un análisis del ” bicho” encontramos que en su código hay varios archivos DLL´s y demás , pero dos de ellos de suma importancia con los cuales va a trabajar y de sumo potencial pues le da autoridad para hacer ” escritura” dentro de nuestro equipo y ” agregarse” al sistema de archivos, como podemos ver en la siguiente pantalla.
Código en ensamblador del ” virus” donde muestra la localización donde se ” aloja” .
Entonces la lógica es ; si el virus intentará crear estos archivos , pues entonces nosotros nos anticipamos y creamos antes los archivos y les cambiamos sus propiedades para que así si , intentara infectarnos ya no lo haría pues pensaría que el equipo ” ya está infectado “, para evitar la infección , claro esto no asegura la infección por cualquier otro malware solo funcionaría en este caso solo para el virus ” bad rabitt”, y solo funciona si no hemos sido infectados previamente, tampoco garantiza la infección por otro método fuera del mencionado en este artículo.
Para lo cual primeramente lo que requerimos es crear estos archivos de tamaño de 1KB y colocarlos en la carpeta de windows C:WINDOWS ( CSSCC.DAT E INFPUB.DAT )
Una vez creado los archivos, modificar los parámetros de estos dando click derecho en cada uno , se nos abrirá opciones , ahí seleccionar la opción de ” propiedades, y se nos abrirá las opciones de ” seguridad” como se muestra en la siguiente pantalla.
Posteriormente damos click en el botón ” Opciones Avanzadas”
Al dar click se nos abrirá opciones de administración del archivo , ahí seleccionamos ” cambiar permisos”
Ahí debemos habilitar la opción de ” incluir todos los permisos heredables del objeto primario de este objeto ” y darle aceptar
Posteriormente abrirá una ventana de confirmación , Si el sistema operativo es Windows 10 , se sigue el mismo procedimiento pero en lugar de desmarcar la herencia ,damos click en ” desactivar la herencia ”
El mismo proceso se debe realizar para el segundo archivo, nuevamente este proceso solo funcionará en caso del virus ” bad rabitt” con la lógica de operación comentada en este artículo , no asegura que no nos vayamos a infectar de otro malware o del mismo bajo otro algoritmo de trabajo, esperamos les sea de utilidad esta información…