Cómo eliminar el virus “DiskKnight”
Publicado el Martes 04 de Diciembre del 2007 @ 0:42 por Armonth.
Reírse de la ignorancia ajena no es algo que haga ni me guste pero a veces uno no puede evitar la risa. Sobretodo si a un poco de ignorancia inocua se le adereza una gran cantidad de ingenuidad bondadosa.
Un amigo me ha advertido de “este peligroso virus” con una cara de preocuparse por la saluda de mi máquina muy graciosa…
El virus DiskKnight es uno de esos virus / troyano que se propaga aprovechándose de las unidades ópticas (en cristiano: lectores y grabadores de CD/DVD) y de dispositivos de mass storage (los pendrives y demás) y el sistema es de lo más sencillo: un autorun hecho a mala leche y carretera…
Con un pendrive infectado de su propiedad y con ganas de enseñarle (así no vuelve }:P) le he demostrado que de peligroso nada, resumiendo:
- Los autorun son una pijada de Windows que no afecta a GNU/Linux.
- Los autorun en Windows no se cargan si se mantiene la tecla “Shift” mientras el dispositivo se carga.
- La carga automática se puede desactivar definitivamente para no necesitar más pulsar el “Shift”.
Cómo eliminar DiskKnight
Fácil, sencillo y para toda la familia: desde un equipo no infectado con Windows y la tecla “shift” pulsada (o un LiveCD de cualquier distribución GNU/Linux) sólo hay que buscar el autorun.inf y el “Disk Knight.exe” para borrarlos.
Si el PC ya está infectado se busca todo rastro del mismo antes de realizar la limpieza de uno o varios pendrives:
En el registro, se borran todas las entradas que inicien en el arranque el “Disk Knight.exe” en las claves de siempre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunÍdem al paso anterior pero ejecutando msconfig.
- Buscando el “Disk Knight.exe” en el disco duro para borrarlo.
Algo muy fácil y que en la práctica se está usando para que haya más infecciones por “herramientas” que prometen eliminarlo y al mismo tiempo añaden los suyos propios que las que provoca el troyano en sí.
Como curiosidad, de los últimos diez o doce pendrives ajenos a mí que he tocado sólo tres estaba limpios y dos eran del curro ¿por qué será?.
4 Comentarios (feed)
-
tururú nos comenta:
¿Cómo se desactiva la carga automática? :-S
-
486 nos comenta:
Dos cosas: El ejecutable se llama “knight.exe”, y el autorun se encuentra oculto en la raiz del pendrive, junto con una copia. Buscando estos archivos en algunos casos el explorer no me los mostró ni sacando lo de “ocultar archivos protegidos…”. Lo mejor que encontré para borrarlos fue el Volkov Commander.
-
Armonth nos comenta:
486 yo lo he visto como “Disk Knight.exe” pero no quito que pueda tener variantes…
tururú ejecuta “gpedit.msc”, busca en sistema algo parecido a “Desactivar reproducción automática” (depende de las versiones) y en el checkbox pones “Habilitar” (sí: “habilitamos” la desactivación) y luego en un desplegable “Todas las unidades”.
Luego es posible (lo hago por costumbre, en teoría hay que hacerlo siempre que se edite el gpedit.msc) que tengas que actualizar con los nuevos datos con “gpupdate”.
En Windows 2000 el último comando cambiaba a (he tenido que buscar un pequeño libro de notas que usaba antes) “secedit /refreshpolicy machine_policy”.
-
tururú nos comenta:
Gracias, Armonth. Intenté ejecutar “gpedit.msc”, pero al parecer no está disponible en Windows XP Home, sino únicamente para la versión profesional.
Aun así, buceando un poco encontré un método para desactivar la reproducción automática en cualquier tipo de dispositivo extraíble, tan sólo con modificar el registro de Windows:
Hay que buscar la clave NoDriveTypeAutoRun y modificar su valor a 91. La clave se encuentra en HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Policies > Explorer.
La verdad es que conviene que se mantenga desactivado. Es un peligro enorme.
