Buscar este blog

lunes, 20 de mayo de 2013

Eliminar “You shall not pass”

“You shall not pass” o "No pasarás" es un virus de tipo troyano que nos va a bloquear el navegador a intentar acceder a Facebook, Youtube, Google, etc..
En su lugar va a mostrarnos una imagen de Gandalf (El señor de los anillos) con un mensaje debajo diciendo “You shall not pass”.

¿Cómo podemos infectarnos con “You shall not pass” o "No pasarás"?
Puede llegar a infectar nuestro ordenador por navegar por sitios web maliciosos o sitios web infectados con el virus. Un método cada vez más usado en general para la infección por virus es el drive-by-downloadwebs vulneradas con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para infectarnos. Troyanos residentes en el ordenador también pueden descargar este tipo de adware. Podemos infectarnos al recibir emails o spam con archivos adjuntos o enlaces maliciosos. Al compartir archivos en programas P2P (peer to peer) o descargar archivos FTP podemos acabar con algún archivo infectado en nuestro ordenador.

Una vez que tengamos el ordenador infectado con “You shall not pass” o "No pasarás" nos modificará la configuración del archivo de HOSTS para conseguir redirigirnos el navegador. En este archivo se añadirán lineas de texto donde se especificará a que sitio se tiene que ir al intentar entrar en Facebook, Google, etc.. como por ejemplo:

184.22.81.15 facebook.com
184.22.81.15 www.facebook.com
184.22.81.15 google.com
184.22.81.15 www.google.com


Con esto consiguen que al intentar visitar ciertos sitios web, si lo encuentra en el archivo de HOSTS los redirigirá a la dirección IP del archivo y así mostrar la pantalla “You shall not pass” o "No pasarás".
Este virus puede venir acompañado por otros virus como  Backdoor: Win32/Fynloski.A, Troyano que llega oculto en un documento de apoyo a activistas sirios, que instala una herramienta de control remoto del equipo que abre un puerta trasera, captura pulsaciones de teclado, roba contraseñas, captura la actividad de la webcam, abre una instancia de Internet Explorer oculta y se conecta con sitios maliciosos adonde envía la información que ha obtenido.

Si al intentar acceder a ciertos sitios web se nos muestra una pantalla donde aparece Gandalf y un mensaje “You shall not pass” o "No pasarás", es un síntoma de que estamos infectados con uno o más virus. Es aconsejable que realicemos un análisis completo del sistema para eliminar todas las amenazas detectadas.

¿Cómo podemos infectarnos con “You shall not pass” o "No pasarás"?
  • Reiniciamos el ordenador y vamos pulsando la tecla F8 hasta que nos aparezca un menú donde podamos escoger la opción Modo seguro con funciones de red.
 
  • Eliminaremos entradas de registro maliciosas con RogueKiller, lo descargaremos de mi sección Herramientas. > una vez descargado lo ejecutaremos y esperaremos que haga un preescaneo > cuando termine clicaremos en el botón de Scan y realizaremos un escaneo del sistema > cuando termine clicaremos el botón Delete para eliminar lo detectado > reiniciaremos el ordenador y volveremos a ejecutar el programa > esta vez iremos a las Opciones y clicaremos en el botón Fix Host lo que nos restaurará el archivo hosts original de Windows > después clicaremos en el botón Fix Proxy con lo que eliminaremos la configuración del proxy y del navegador donde se ha configurado por el malware > después clicaremos en el botón Fix DNS con el fin de revertir el cambio realizado por el programa en la configuración de DNS > volveremos a reiniciar el ordenador > ahora volvemos a ir a las Opciones y clicamos sobre Fix Shortcuts para volver restaurar los accesos directos originales.
  • Malwarebytes Anti-Malware (analiza el sistema para eliminar malware) . Lo podéis descargar desde mi sección de AntiMalware. Instalaremos el programa y lo actualizaremos > Realizaremos un análisis completo > Cuando haya terminado, seguiremos con el asistente y eliminaremos los malwares detectados. Si no podemos ejecutarlo porque está bloqueado, seguiremos con el siguiente paso.
     
  • Descargaremos TDSKiller y lo guardaremos en el escritorio, (lo podemos descargar desde mi sección Anti-Rootkit). > Ejecutaremos el programa e iremos a la opción Change Parmetres y los modificaremos como en la imagen > Posteriormente pulsaremos Start Scan para analizar el sistema > al finalizar eliminaremos las amenazas detectadas.

  • Realiza un análisis completo con Eset Nod32 online -> Versión Descargable E Instalable: En mi sección Antivirus OnLine podemos descargarla con el nombre Esetsmartinstaller_esn> marcaremos la opción Eliminar las amenazas detectadas y analizar archivos > realizamos clic en Configuración adicional y marcamos las casillas: Analizar en busca de aplicaciones potencialmente indeseables, Analizar en busca de aplicaciones potencialmente peligrosas y Activar la tecnolgía Anti-Stealth. > Clicamos Iniciar para que empiece a descargar  la base firmas de virus y posteriormente empiece a analizar tu sistema.
  • Glary Utilities nos permitirá realizar un mantenimiento general del ordenador y optimizarlo en profundidad. Lo podemos descargar desde mi sección de HerramientasUna vez instalado vas a la pestaña Estado y presionas Ver Actualizaciones y el programa actualizará su base de datos y de ser necesario te avisará si hay una nueva versión > después vamos a la opción Mantenimiento un clic > Clicamos la opción Ver resultados > y cuando termine Repararemos los problemas detectados.
 

Estos pasos deberían ser suficientes en la mayoría de los casos para eliminar este troyano y ransomware. En el caso contrario pueden abrir un nuevo tema en el Foro Solucionavirus para realizar un análisis del sistema de manera personalizada.

1 comentario: