[KB3175] ¿Cómo eliminar una infección de Autorun.AC o Pronny?

• Su producto ESET detecta la amenaza "Autorun.AC" o "Win32Pronny"

• Archivos y carpetas desaparecen de su recurso compartido de red

• Se crean nuevos archivos .exe llamados "Porn.exe," "Secret.exe," "Sexy.exe" o "Passwords.exe"en su recurso compartido de red
   

INF/Autorun.AC intentará utilizar funcionalidades de ejecución automática para ejecutar códigos maliciosos como así también para esconder archivos y carpetas en un recurso compartido de red y reemplazarlos por ejecutables que poseen los mismos nombres e íconos de los archivos/carpetas que han sido ocultadas. Por ejemplo, si usted posee una carpeta denominada "Cuentas" esta será ocultada y se creará un ejecutable con el mismo nombre, lo cual ayuda a que la infección se cargue aún si la funcionalidad de ejecución automática no lo hace, debido a que un usuario que no sospeche de la infección hará doble clic sobre el ejecutable pensando que se trata de su carpeta.

Además de reemplazar archivos existentes, esta infección creará ejecutables con los siguientes nombres:

• Porn.exe
• Secret.exe
• Sexy.exe
• Passwords.exe 

I. Prepare su red para la limpieza (todos los equipos de la red)

1. Deshabilite la ejecución automática y los medios extraíbles. Acceda al siguiente artículo de la base de conocimiento de Microsoft para obtener instrucciones al respecto:

• ¿Cómo deshabilitar la funcionalidad de la ejecución automática en Windows?

2. Deshabilite Compartir impresoras durante el proceso de limpieza para impedir la propagación de la infección. Acceda al siguiente artículo de la base de conocimiento de Microsoft para obtener instrucciones al respecto:

• Deshabilitar Compartir impresoras y archivos para mayor seguridad

3. Asegúrese de poder visualizar archivos ocultos, archivos del sistema y extensiones de archivos (le permitirá ver cualquier archivo que podría haber sido ocultado por la infección). Inicie una búsqueda en Windows haciendo clic en Inicio e ingresando las palabras "Opciones de carpeta" (haga clic aquí para visualizar los pasos si cuenta con Windows 8) y presione Enter para abrir la ventana de Opciones de carpeta.

4. Seleccione la solapa Ver y asegúrese de que se encuentren tildadas las opciones Mostrar archivos, carpetas y unidades ocultos. Destilde Ocultar las extensiones para tipos de archivos conocidos y Ocultar archivos protegidos del sistema operativo (Recomendado). Cuando finalice haga clic en Aceptar.

Figura 1-1

II. Elimine la infección (solo para equipos infectados)

1. Descargue la última actualización de la base de datos de firmas de virus en su producto ESET y realice una exploración de su equipo.

2. Cuando la exploración finalice coloque en la cuarentena y luego elimine cuaqluier archivo identificado por su producto ESET como infectado por Autorun.AC o Win32/Pronny.

3. Verifique si existe en su recurso compartido de red archivos sospechosos con nombres como "Porn.exe," "Secret.exe", "Sexy.exe" y "Passwords.exe." Si no encuentra tales archivos, continúe con el paso 4. Si los encontró, efectúe los siguientes pasos para deshabilitar la Cuenta de usuario que creó esos archivos y envíelos al Laboratorio de ESET para que podamos analizarlos.

1. Haga clic derecho sobre los archivos sospechosos y seleccione Propiedades dentro del menú contextual.

2. Acceda a la solapa Seguridad y haga clic Opciones avanzados (ver Figura 1-2).

3. Corrobore cuál es la cuenta de usuario desde la que se ha creado el archivo dentro de la sección Propietario. Siga las instrucciones contenidas dentro del artículo adecuado para deshabilitar la Cuenta de usuario que creó el archivo infectado:

• Deshabilitar una cuenta de usuario en Windows 7
   
• Deshabilitar una cuenta de usuario en Windows vista

Figura 1-2
Haga clic sobre la imagen para ampliarla

4. Envíe cualquier archivo sospechoso al Laboratorio de ESET para que sea analizado haciendo clic derecho sobre el mismo y seleccionando Opciones avanzadas → Enviar archivos para su análisis.

Figura 1-3

4. Restaure la visibilidad de los archivos del recurso compartido de red que fueron ocultados por el código malicioso:

1. Diríjase a Inicio → Todos los programas → Accesorios y luego haga clic derecho sobre el Símbolo del sistema y seleccione Ejecutar como administrador. 

• Usuarios de Windows 8: Presione la tecla de Windows + Q, escriba cmd dentro de la barra de búsqueda, haga clic derecho sobre el Símbolo del sistema y seleccione Ejecutar como administrador.

2. Escriba attrib -h -s "%PathToUnhide%* /s /d dentro del símbolo del sistema, correspondiendole al parámetro "%PathToUnhide% la ubicación de su recurso compartido de red. Presione Enter para ejecutar el comando.

• Por ejemplo, el comando attrib -h -s K:mydocs*/s/d debería quitar los atributos ocultos y del archivo de sistema de los archivos contenidos en "K:mydocs" y subcarpetas de "K:mydocs"

III. Restaure la funcionalidad de la red (todos los equipos de la red)

1. Restaure los ajustes que cambió en el paso 4 a su estado previo: haga clic en Inicio e ingrese las palabras "Opciones de carpeta" (haga clic aquí para visualizar los pasos si cuenta con Windows 8) y presione Enter para abrir la ventana de Opciones de carpeta.
    
2. Reactive cualquier cuanta de usuario deshabilitada luego de que los equipos de la red se encuentren limpios. Modifique las contraseñas de todas las cuentas de usuario. ESET también recomienda que cambie todas las contraseñas Admin.
    
3. Restaure las funcionalidades Ejecución automática y Compartir impresoras y archivos.