Este documento describe un virus llamado "Skype" y cómo detectarlo y eliminarlo de un sistema infectado. El virus se propaga a través de unidades extraíbles infectadas y deshabilita varias funciones del sistema operativo. Para eliminarlo, se debe usar un antivirus desde un sistema operativo en vivo y eliminar todos los archivos infectados, luego quitar el archivo responsable de la infección del registro del sistema.

1. COMO DETECTAR Y ELIMINAR EL “SKYPE” (Variante del virus Nekat)
Comúnmente se escucharía:
“ Tengo mi PC infectado por algún tipo de virus o gusano la verdad no sé, es una
combinación de soundmix, syswin, msrundll32.exe y Troj/HideDoc, me desactiva el
administrador de tareas, me desactiva el símbolo de sistema, el REGEDIT, las opciones de
carpeta, y me convierte los archivos .doc de office en .exe de 33K. También quisiera saber
si es posible recuperar los archivos perdidos. Pero este es una nueva variante y por más
que le he invertido tiempo al asunto no puedo recuperar los archivos que a la larga es lo
que me interesa.
Si alguien sabe como hacerlo se lo agradecería. “
Método de Propagación
“Skype” llega al ordenador por medio de el uso del autorun.inf y con un archivo .dll, .exe o
con el icono de Word, para engañar a los usuarios y hacerles pensar que se trata de un
archivo inofensivo
“Skype” se propaga a través de unidades extraíbles, cds o dvds con archivos infectados.
Peligrosidad: Alta
Daño: Medio
Dispersibilidad: Medio
Explicación de los criterios
Nombre completo: virus.W32/skype.a
Tipo: [virus] - Programa que se replica copiándose entero (infectando otros ficheros) en la
máquina infectada, y a través de redes de ordenadores.
Plataforma: [W32] - Ejecutable (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98,
Me, NT, 2000, XP, 2003
Alias:W32/skype.a
Bueno, empecemos con los síntomas.
El troyano realiza numerosas modificaciones en el Registro de Windows, que tienen las
siguientes consecuencias:

2. Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas.
- Opciones de carpeta del Explorador de Windows.
- Restauración de sistema.
- Consola de comandos.
Deshabilita las siguientes opciones del menú de Inicio:
- Buscar.
- Ejecutar.
Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
- Oculta los archivos del sistema operativo.
Aparte de esto, empieza el verdadero poder del virus.
Al haber entrado al registro del sistema, deshabilita el antivirus de tal forma que él sigue
ejecutándose pero no lo detecta y si lo detecta no puede eliminarlo.
Después utiliza la opción buscar y con una línea de comando de autoejecución, escanea
todo el disco duro excepto los .zip y los archivos comprimidos; y a cada documento de
extensión .doc lo cambia por un archivo con el mismo nombre pero con extensión .exe de
tamaño 33K.
ELIMINACION DEL VIRUS SKYPE
Primero, hay que hacerse a la idea de que los documentos ya se perdieron, así será más
sencillo proceder.
El sistema ya se encuentra infectado, entonces lo que hay que hacer es buscar el archivo
que hace que este, no permita eliminar el virus; con un programa que deje ver las
aplicaciones que se ejecutan en el arranque de Windows, como es el “Easy remover”
podemos ver las aplicaciones y en especial una con la siguiente ruta:
“c:windowslogon.exe”
Comúnmente este es el nombre del archivo cómplice del virus.
Ya con este dato se procede a usar un Xp Live Cd, el más conocido es el “PILITOS”.

3. Ejecutando este cd se inicia el equipo con el Xp live y dejamos que cargue hasta que ya
esté listo para usar el Windows Xp.
1. Forma de eliminación:
Con el Windows activado, y con una memoria usb, pendrive o flash memory,
que contenga el directorio del Nod32 (ESET) copiado completamente,
procedemos a ejecutar el archivo nod32.exe, antes de empezar a escanear el
disco duro, seleccionamos la pestaña “acciones”, opción “Desinfectar” y si es
imposible desinfectar “eliminar”.
Ahora se selecciona “Analizar y desinfectar” y que empiece el proceso de
eliminación de documentos infectados. No son los documentos reales, sino
copias del troyano con el mismo nombre de los documentos.
2. Forma de eliminación:
Con el Windows activado, y con una memoria usb, pendrive o flash memory,
que contenga el directorio del antivirus que mas uses, lo ejecutas y eliminas
todos los archivos infectados con el virus.
Antes de reiniciar el computador se copia en una carpeta el archivo “combofix.exe” y se
inicia el sistema con el Windows que tenga instalado el PC.
Cuando arranque Windows Xp lo más probable es que pida el archivo “logon.exe” o que
diga que está perdido, no hay problema solo se le da continuar, aceptar o cancelar y se
deja cargar el Windows.
Se usa el explorador de Windows o “MI Pc” para ejecutar el archivo “combofix.exe” y ya
quedan habilitadas las funciones que habían quedado desactivadas por el virus y se
verifica que los programas funcionen correctamente y se instala nuevamente el antivirus.
Por último, se ejecuta el comando “msconfig” en la opción, “ejecutar” y se quita la
siguiente línea de comando: “c:windowslogon.exe”; y se reinicia el pc.
Para recuperar los documentos perdidos recomiendo usar el “Easy Recovery Profesional”.
Juan José Agredo
Ver 1.4