miércoles, 31 de octubre de 2007

El gusano/spyware Knight.exe (actualizado)

El gran problema de usar los computadores en un lugar público. Es el gran riesgo existente en contraer alguna infección de virus u otro tipo de programa malicioso.

Doble problema si el lugar público es el laboratorio de una universidad. donde el 90% mueve archivos con pendrives.

Triple problema si antivirus de la talla de AVG o NOD32 no detectan este programa como una amenaza (al menos a la fecha de este post). Kaspersky si lo detecta.

Knight.exe es un virus que se carga al abrir la pendrive desde "MI PC". cambiando los comandos de shell gracias a un autorun.inf. una vez en memoria se instala como programa (Disk Knight), y cada nueva pendrive que se coloque, se le grabará el virus.

Es fácilmente identificable: Si tienes el siguiente ícono en tu pendrive, posiblemente te ayude esta información.
Image Hosted by ImageShack.us

UPDATES: Pueden descargar una utilidad para remover el virus knight.exe desde el siguiente link. VISITAR
(10/10/08) Ahora el link debería estar funcionando

Mi hermano mark3d en su blog publica un método para deshacerse manualmente de esa porquería.

click aqui para leer


Este es un articulo referente a un inmunizador de pendrives Leer

Metí el Knight.exe a Virustotal. una web donde analizan el archivo por muchos antivirus.
Pueden descargar el resultado aqui

9 comentarios:

4Shara dijo...

Ese virus, en su versión WIN32/AuTOrun.CH también infectó mi pendrive.

En mi computador no ha pasado nada raro, excepto que aparece el programa Knight.exe avisando que protege a mi sistema de elementos peligrosos que vienen en los discos móviles, y abre su contenido en una ventana aparte del explorador.

Me pareció raro que apareciera un programa así en el pc, pero era de otra persona así que no me fijaba tanto. Hasta hace poco no sabía que era un virus xD La última actualización de NOD32 lo reconoce.

Las distintas versiones de este malware borran tus mp3 o borran la asociación de archivos con programas.

Unknown dijo...

afortunadamente el NOD32 me lo ha detectado al iniciar mi pendrive y lo ha eliminado.
SALUDOS Y GRACIAS POR LA DATA!

4Shara dijo...

Aps producción me informa que el programa se reproduce como virus pero no es un virus, sino un programa molesto que 'protege' ineficientemente las unidades de almacenamiento móbiles.

Igual es peligroso dejar al autorun funcionar porque otros virus funcionan de la misma manera, ¿dónde se desactiva la ejecución automática del pendrive?

Lordnet dijo...

acá están las instrucciones para deshabilitar el autorun.
http://www.taringa.net/posts/info/929460/Disk-Knight-¿VIRUS-para-desinstalarlo___.html

les recomiendo mejor crear un autorun.inf en blanco en la pendrive y protegerlo contra escritura.

Anónimo dijo...

Holaaa!
Necesito su ayuda!!!
Tengo un iPod Classic y lo uso como disco extraible tambien.
Creo que al conectarlo a la pc de un ciber tomo un virus y la ultima vez que lo conecte en mi pc el NOD32 lo detecto.
el virus se llama Win32/AutoRun.CH

quiero saber como puedo eliminarlo sin afectar la programacion del iPod, esta en un archivo llamado autorun.inf.

no entiendo nada de estooo!!!!!!!! necesitoo una buena explicacion :P
si pueden enviarme algun tipo de informacion a mi mail sann.parra@hotmail.com se los agradeceria.

un beso grande.


sandra.

José Antonio dijo...

Gracias por el dato en mi pendrive uso un paquete portable de aplicaciones y me decia que mi usb flash estava protegido contra escritura y que no podia usarla gracias por el dato amigo me has salvado mi trabjo final de grado

cynthia dijo...

hola tengo ese virus en mi usb me gustaria que me dijeras como quirçtarlo plisss

Cristian Vázquez dijo...

Hola .. te comento que tengo instalado el avg version 8.0.138 y me detecto el virus y me lo movio al virus vault , simplemente eso , muy interesante el post

Unknown dijo...

Lleve el pendrive a un local de fotos y me volvio con el knight.exe
El avaste lo detecto y borró!!
Ric