[WinXP] Deep Freeze deja pasar Safedrv.exe

Publicado en 'Windows' por SoportePc, 13 Abr 2013.





  1. SoportePc

    SoportePc Miembro de oro

    Registro:
    28 Abr 2011
    Mensajes:
    5,328
    Likes:
    564




    Bueno, trataré de resumir un problemilla interesante que tengo y las PRUEBAS que estoy realizando para entenderlo, a estas alturas casi he agotado todas la acciones lógicas que suelo emplear para limpiar las PCs.

    El problema de VIRUS O INFECCION AFECTA solo a XP, el virus está intencionalmente localizado en una memoria usb y consta de 2 simples archivos: safedrv.exe y autorun.inf, de la RED LAN aisle/elegi 2 PCs importantes y claves por su comportamiento, son similares, generacion core 2 duo asi que me las lleve a mi casa.

    Situacion inicial->
    La Pc1 esta limpia y la PC 2 esta infectada con ese virus, y ambas congeladas y ambas no Tienen ANTIVIRUS (importante esto), introducie mi usb en la PC2 y se infecto con esos virus, luego introduci ese mismo usb en la PC01 y lo infecto intencionalmente dando doble click en el archivo safedrv.exe, y el disco duro del PC01 queda infectado de inmediato ( osea se copia tanto el autorun.inf como el safedrv.exe en el disco duro). Como la PC01 tambien esta congelada, entonces saco la memoria usb y reinicio y con mucha confianza asumo que Pc01 booteara/iniciara a sus estado/configuracion original antes de freezearlo (limpio y sin virus), ustedes ya saben para que sirve el deepfreezer asi que no dare detalles, bueno al iniciar al PC01, la PC estaba LIMPIA si esos archivos safedrv.exe y autorun.inf en el disco duro, si ya sé que eso es lo mas obvio que deberia SUCEDER.

    Luego, decidi atacar el problema de raiz, asi que felizmente decidi hacer una formateo e instalacion limpia desde cero a la PC02, luego como segundo paso, freezearlo con la misma version de deepfreeze (sin virus) y probar ese curioso usb infectado, y eso hice.

    En la pc 02 ya freezada y recien instalada Xp, coloco el usb infectado, abro con doble click y
    se infecta el disco duro de inmediato, saco el la memoria usb, y reinicio la PC02 y la gran
    sorpresa es que el disco duro del PC02 queda infectado con esos archivos PESE A ESTAR freezeado
    entonces dije, si en la Pc01 ese mismo usb no lo puede infectar PERMANTEMENTE, porque esta
    infectado la Pc02 recien formateada.
    Bueno tome mas acciones adicionales:
    antes de instalar el Xp, flasheaba la BIOS (por precaucion) y formateaba el disco a bajo nivel( por precaucion) en otra PC limpia, luego colocaba
    e instabala Xp, es mas use 2 cd XP distintos para descartar el CD original, tambien
    Use otras versiones de deepfrezze mas actuales. Incluso desconecte de la red al 100% para las pruebas pero igual sigue infectandose.

    Lo ultimo que hice fue lo siguiente:

    Flashee el bios y formatee a bajo nivel el disco duro de la PC02 y clone el disco duro tal cual de la Pc01, osea CONGELADO en la PC02, LUEGO al iniciar la Pc02, obviamente estaba limpia y freezeada con el sistema xp identico a la PC01, luego dije aqui ya no debe infectarse, asi que coloque la memoria usb, doble click y al reinicion AUN MAS grande LA SOPRESA, QUEDA INFECTADA! DEJA PASAR ESOS 2 ARCHIVOS. Con Ese mismo USB estoy colocando e infectando tal cual LA pc01 PERO AL REINICIAR NO DEJAR PASAR/ NO QUEDA INFECTADA!!.
    Finalmente puede acceder a una PC de un amigo sin esos virus y freezeada con XP, le desactive el antivirus ejecute mi USB y reinice, quedo infectada!! :risota:

    A este punto me da la tentativa de pensar que hay una configuracion de hardware en el Bios probablemente u otro lado que hace que pase esto.. No sé!

    Los archivos de mi usb estan aqui
    http://www.sendspace.com/file/trz690
    Pueden bajarlos pegarlos a su Memoria USB y probar en una Pc con xp freezeada

    Alguna sugerencia logica?
     
    A jorge_d94 le gustó este mensaje.


  2. zatto44

    zatto44 Miembro de bronce

    Registro:
    9 May 2011
    Mensajes:
    2,340
    Likes:
    460
    sabias que hay virus que infectan las flash de las placas madre, una ves me tope con algo asi formateada total y a romper cds que tenian esos archivos, ay que ver que grado de maldad y habilidad tiene el que diseño el virus, si es un virus de hardware va estar dificil que lo elimines pero es extremadamente raro que alguien lo tenga, yo no experiementaria defrente a formatear.
     
  3. SoportePc

    SoportePc Miembro de oro

    Registro:
    28 Abr 2011
    Mensajes:
    5,328
    Likes:
    564
    Estoy de acuerdo!, Los virus que infectan a la bios son como cuentos de ada, hasta
    donde supe solo afectaban Bios antiguas, y ademas por si las moscas flashee la Bios desconectando el disco duro y resete la Bios adicionalmente con eso SEGUN SAN GOOGLE YA DEBERIA DESINFECTARSE CUALQUIER VIRUS DE BIOS MAGICO, pero igual sigocreyendo que no es el caso, tambien por si caso analice el mbr cuando el disco ya esta infectado con varios antivirus para tal fin y no tiene infectado esa parte, pero igual formatee a bajo nivel para asegurar. Si esos 2 ordinarios archivos INFECTARIAN la bios entonces deberian tranquilamente infectar la PC01 o PC corriendo windows 7 pero no eso no sucede. Tampoco podria pensar en el cdXP, use otros diferentes CdXp que tengo desde hace tiempo. Simplemente instalo un XP sin ningun otro tipo de software EXEPTO deepfreze para las pruebas, y aun asi para descartar al 100% algun software mio, Me hice un acronis booteable USB libre de virus y clone el disco y los deje completamente iguales e igual sigue infectandose la PC02. Lo curioso es que la PC01 con xp no se infecta, esa pc usa una placa INtel pura por ende Bios intel, las otros son Bios AMI.
    La infeccion se esta dando durante el reinicio, de la ram se esta copiando nuevamente al disco duro durante ese proceso como todo el tiempo esta prendido debe haber una opcion en el Bios que mantiene la informacion mientras no se le corte la energia o algo asi.. a estas alturas uno ya es tentado por ideas irracionales..:risota:
     
  4. SoportePc

    SoportePc Miembro de oro

    Registro:
    28 Abr 2011
    Mensajes:
    5,328
    Likes:
    564
    Bueno, hice mas pruebas en mi tiempo libre y llegue a una bonita conclusion.
    El problema radica exactamente en el disco duro, deduzco que el virus aprovecha cierto bug en el FIRMWARE del disco duro, la cual hace que se infecte A PESAR de estar freezeado.
    PRUEBAS CONCLUYENTES:
    1) Saqué el disco duro que no se infecta de la "PcIntel" y lo puse en las otras PCs, instalé desde CERO con el MISMO XP, freezee con el mismo deepfreeze, reinicie, luego infecté intencionalmente con el usb contaminado, reinicié otra vez y PERFECTO!. Las PCs levantan limpias, libre de virus, es decir el disco NO se INFECTA permanentemente.

    2) Los otros 2 discos los pongo en la PcIntel, instalé/hice lo mismo que hice en 1) y SI se infectan PERMANENTEMENTE, por ende no es un "Virus de BIOS", no es el CD de XP, ni el deep freezer ni nada.

    Conclusion
    Problema radica en el mismo disco duro ( algun Bug en el firmware)
    Solucion
    Instalar Windows 7, o cambio de disco duro
     
    Última edición: 24 Abr 2013