Checho's Blog

Talking about Windows Internals, Deployment and Troubleshooting

Los archivos de la USB que se convertan en accesos
directos en Windows, Attrib, Process Monitor y su
solucin
El problema que voy a describir en este post, muy seguramente todos lo han vivido en algn momento,
sobre todo si utilizan mucho dispositivos USB en diferentes equipos, indiferente adems de si estudian o
no algo relacionado con tecnologa pues se podra decir que es uno de los comportamientos de malware
ms comunes. Sin embargo, pasar a detallarlo aqu como normalmente lo hago con los diferentes
problemas para brindarle una solucin a los que entren buscndola, aprender un poco ms del
funcionamiento yo, y por supuesto seguir generando diferentes contenidos sobre lo que me apasiona.
*Nota: Me apoyar durante todo el artculo en una USB que contena este malware, as que podra
variar un poco con respecto a lo que ustedes puedan ver si se infectan, pero la solucin va por el mismo
camino.
El problema
Al conectar el dispositivo en un equipo con Windows 8.1, segn la descripcin y acorde con lo primero
que vi, haban ciertos archivos que a pesar de ser de diferentes tipos como PDFs, Documentos de Word y
msica, se volvieron Accesos Directos y solo presentaban un icono en blanco:
Cuando hice doble clic en uno de ellos para ver si haba ejecucin normal, apareci una ventana del
Smbolo del Sistema con el nombre del archivo como ttulo por algunos segundos, al parecer realizando
alguna operacin oculta:
Despus de esto, el archivo iniciaba normalmente con su programa asociado:
Si ese archivo se guardaba as fuese con otro nombre en la misma unidad, despus de unos segundos
tambin se volva acceso directo, con los mismos comportamientos que el orginal. Por otro lado, si el
aparente acceso directo se copiaba a un directorio externo y se intentaba ejecutar, ya no abra el
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
1 de 7 12/08/2014 12:37 a.m.
documento original, y en vez de eso, haba un par de errores:
A pesar de que en general era el mismo mensaje genrico, el primero estaba buscando al parecer un
script llamado qecddxldm.vbs y el segundo al mismo archivo que intentaba abrir, en este caso:
inteligencia.docx.
Si el archivo se abra y luego se le indicaba Guardar como para ubicarlo en otro directorio que no fuese el
de la propia unidad, el formato se mantena bien y continuaba funcionando. Esto me indicaba en primera
instancia que el problema se reproduca solo en el dispositivo USB.
La causa
Claramente algo estaba pasando al ejecutarse los archivos y mientras mostraba la consola, as que para
averiguarlo, era necesario indagar un poco ms a profundidad lo que estaba ocurriendo por debajo. Para
esto, nada mejor que Process Monitor de Sysinternals.
El procedimiento como ya lo he ejemplificado en otros artculos similares, consiste en ejecutar Process
Monitor, limpiar la primera traza utilizando CTRL + X y posteriormente reproducir el problema o
comportamiento, que en este caso sera volver a ejecutar alguno de los archivos hasta que se abra con el
programa con el que debe estar asociado.
Utilic el mismo documento de inteligencia.docx para poder seguir con el ejemplo que ya haba
mostrado en las primeras capturas.
Como no saba por dnde empezar, lo que hice fue simplemente parar el monitoreo de Process Monitor
despus de reproducir para no tener ms informacin innecesaria, y desde el cuadro de bsqueda (CTRL
+ F) le iniqu ingeligencia.docx hacia abajo para mirar las primeras referencias que se hicieran sobre el
documento desde el momento en que Process Monitor se ejecut:
Afortunadamente, el primer resultado tena mucho que decir al respecto, pues no era nada comn:
Por alguna razn, el Explorador de Windows estaba abriendo el proceso de cmd.exe, tena un
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
2 de 7 12/08/2014 12:37 a.m.
resultado satisfactorio y adems referenciaba en alguna parte el nombre completo de
inteligencia.docx. Despus de esto, se iniciaba el proceso y se creaba el hilo. Para ver dnde estaba
utilizando esta operacin el nombre del archivo, abr la ventana de Propiedades de Process Monitor
haciendo doble clic sobre la primera lnea, y en la pestaa de Event pude obtener el primer gran
resultado:
El evento esta reportando la siguiente lnea de comandos:
C:\Windows\system32\cmd.exe /c start qecddxsldm.vbs&start inteligencia.docx&exit
Eso era lo que estaba ejecutando el proceso de cmd.exe, indicado como PID (Process ID), que en este
caso tena como nmero 3232, operacin que era la siguiente segn el log de Process Monitor mostrado
en la captura anterior.
Ahora, lo que estaba haciendo toda la lnea era utilizar la bandera de /c para ejecutar el comando que se
le especifique en una cadena y luego terminarlo, START para abrir una nueva ventana que permita
ejecutar el comando o programa, y finalmente el archivo qecddxsldm.vbs estaba haciendo toda la
tarea. A continuacin, se iniciaba con el START nuevamente ya el documento real (inteligencia.docx) y
terminaba todo. Bsicamente, esto se traduce en la ejeucin del Smbolo del Sistema y la apertura
normal del documento que estaba viendo.
Para referenciar tanto al .DOCX como al .VBS sin indicar directorio, tena que estar en la misma
ubicacin, y eso resolva el enigma del por qu copiar el acceso directo a otra parte no daba resultado en
la ejecucin. Proced entonces a habilitar los Archivos Ocultos y Protegidos por el Sistema desde las
Opciones de Carpeta, y ahora la visin de la unidad era un poco diferente:
Los accesos directos slo estaba ah para hacer una redireccin al Script malicioso y para no levantar
mayores sospechaz, lanzaba el archivo original, que estaba oculto como un archivo protegido por el
sistema.
El segundo problema y su causal
En un principio cre que remover el atributo de Oculto al archivo solucionara el problema en principio de
la visualizacin, pero al momento de ir a las respectivas propiedades, me encontr con que esto no lo
poda hacer de forma grfica:
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
3 de 7 12/08/2014 12:37 a.m.
La nica razn por la que un archivo muestre este tipo de caractersticas, es decir, que est como oculto
y no se pueda manipular ese atributo desde el Explorador, es porque se le indic estar oculto como un
atributo de archivo de sistema. La forma ms fcil en la que podemos cambiar esto, es utilizar la
herramienta de Attrib.exe, embebida en Windows.
Para mirar si esto era suficiente entonces, y antes de eliminar el Script que haba traido el Malware,
proced entonces a ejecutar: Attrib S H /S /D /L <USB>\*.* donde <USB> corresponda a la letra
asignada al dispositivo. Para mi caso, que era la E:\ sera:
Attrib S H /S /D /L E:\*.*
*Nota: El argumento - indica que se va a quitar el atributo especificado, S es para Archivos de
Archivos del Sistema, H para especificar el de Oculto, /S para que se aplique a todos los archivos que
correspondan a lo que se est indicando y todas las subcarpetas, /D para que se procesen carpetas y
finalmente /L para que se trabaje en atributos del Vnculo Simblico en caso de que exista en la unidad.
Para ver la descripcin de cada uno, pueden ejecutar desde el Smbolo del Sistema: Attrib /?
La buena noticia, es que como era de esperarse, los archivos pasaron a mostrarse nuevamente como
deba ser despus de la ejecucin del comando:
La mala noticia, es que bastaba un par de minutos para que los archivos se volvieran a ocultar solos:
La solucin
Para saber por qu los archivos se volvan a ocultar nuevamente, corr otra vez Process Monitor, esta vez
dejando como tiempo solo el espacio en que se volvan a poner con atributos escondidos y buscando otra
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
4 de 7 12/08/2014 12:37 a.m.
vez por nombre de alguno de los archivos. Por supuesto, utilic Inteligencia.docx.
El primer resultado fue del Explorer.exe enumerando los archivos de la unidad, as que no me serva,
pero el segundo resultado era del proceso Wscript.exe, que nada tena que estar haciendo si no era
ejecutar un Script de Windows. Como el Query no me deca nada, utilic otra caracterstica de Process
Monitor llamada Process Tree, que cataloga como Process Explorer todos los procesos en ejecucin, y
me indica qu cosas pudo estar haciendo cada uno durante el tiempo activo. Busqu Wscript.exe y
encontr esto:
El Script que en principio estaba solo en la Unidad USB, qecddxsldm.vbs, se estaba corriendo desde el
directorio Roaming correspondiente a mi perfil de usuario, de esta forma los archivos volvan a estar
ocultos.
Navegu entonces hasta el directorio de Roaming e intent eliminar manualmente el Script, pero no pude
hacer, pues segn Windows, estaba siendo utilizado por Wscript.exe:
Ejecut entonces Process Explorer y efectivamente Wscript.exe se encontraba en ejecucin, siempre
referenciando adems el Script:
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
5 de 7 12/08/2014 12:37 a.m.
Es importante notar que aunque el directoiro donde se lanz es la unidad USB, el Script lo consuma
desde la carpeta Roaming.
Termin el proceso entonces con Process Explorer haciendo clic en el botn inferior de Kill Process y
pude eliminar el primer Script de la carpeta Roaming.
Seguido a esto, es necesario eliminar el Script de la unidad USB para que no lo est copiando
constamente. Vale aclarar que hasta el final intentar engaar:
Basta con hacer clic en el botn S y se quitar completamente.
Por ltimo, desde el Smbolo del Sistema con privilegios elevados, es necesario volver a ejecutar Attrib
con sus argumentos para que los archivos se les quite lo oculto, es decir:
Attrib S H /S /D /L E:\*.*
Adems de esto, quitar todos los falsos accesos directos generados, sea manualmente, o bien a travs de
lnea de comandos utilizando: DEL <USB>\*.lnk. Donde <USB> corresponde otra vez al dispositivo.
Para este caso:
DEL E:\*.lnk
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
6 de 7 12/08/2014 12:37 a.m.
*Nota: Puede que no todos los que tengan este problema deban eliminar el Script (.vbs), pues en
algunas ocasiones algn Antivirus ya lo ha hecho, pero no devuelve el estado de los archivos, as que
habra que hacerlo manual como lo acab de indicar.
Posted: 20/8/2013 19:11 por Checho | con no comments
Archivado en: Artculos tcnicos,Solucin a problemas,Windows Sysinternals,Process Monitor,Process
Explorer,Malware,Windows 8,Windows 8.1
Comparte este post:
Los archivos de la USB que se convertan en accesos directos en Win... http://geeks.ms/blogs/checho/archive/2013/08/20/los-archivos-de-la-us...
7 de 7 12/08/2014 12:37 a.m.