{"id":313,"date":"2026-03-06T20:55:55","date_gmt":"2026-03-06T20:55:55","guid":{"rendered":"https:\/\/hackcuba.net\/?p=313"},"modified":"2026-03-06T20:55:55","modified_gmt":"2026-03-06T20:55:55","slug":"dowtp_restore-exe","status":"publish","type":"post","link":"https:\/\/hackcuba.net\/?p=313","title":{"rendered":"doWTP_Restore.exe"},"content":{"rendered":"\n

Hace unos d\u00edas, mientras est\u00e1bamos d\u00e1ndole formato a la revista n\u00famero 15, lo vi por primera vez. Un archivo de nombre doWTP_Restore.exe<\/em> dentro de la carpeta MSOCache<\/em> se apareci\u00f3 en una memoria que reci\u00e9n hab\u00edamos formateado. En ese momento no le prestamos mucha atenci\u00f3n, puesto que est\u00e1bamos m\u00e1s preocupados por terminar la revista a tiempo que por un posible programa maligno que yo tuviese en la m\u00e1quina; s\u00f3lo me limit\u00e9 a escribir en un TXT: \u00abTengo que revisar la memoria<\/em>\u00ab.<\/p>\n\n\n\n\n\n\n\n

Hace dos d\u00edas exactamente estaba registrando en las notas y vi que ten\u00eda cosas pendientes por hacer, as\u00ed que me dediqu\u00e9 a buscar toda la informaci\u00f3n que pudiera acerca de este archivo. Fui hasta la biblioteca de virus nacionales (es una vecina que a\u00fan sin tener conexi\u00f3n a ning\u00fan tipo de red, han pasado por su m\u00e1quina todos los tipos de virus que han salido en Cuba) y, efectivamente, en su memoria estaba ese mismo archivo.<\/p>\n\n\n\n

Dos cosas: quisiera aclarar antes que nada a aquellos que tengan el NOD32 -que yo tambi\u00e9n lo tengo actualizado, y aun as\u00ed no me detect\u00f3 nada- que no se deben confiar. Y la otra es que al menos yo no lo llamar\u00eda virus todav\u00eda, a pesar de que seg\u00fan tengo entendido, en alguna m\u00e1quina, Kaspersky lo reconoci\u00f3 como un programa potencialmente maligno.<\/p>\n\n\n\n

\u00bfC\u00f3mo s\u00e9 si lo tengo?<\/h2>\n\n\n\n

El programa se encuentra dentro de una carpeta de nombre MSOCache<\/em>, y hasta donde s\u00e9, se propaga fundamentalmente por la memorias Flash. Lo primero es tratar de habilitar la opci\u00f3n de mostrar archivos ocultos; as\u00ed sabremos si tienen o no en nuestro dispositivo una carpeta con dicho nombre. Si no la tienen, no sigan leyendo esto, pero en caso de tenerla, de nada les servir\u00e1 formatear la memoria, ya que al parecer, en la m\u00e1quina hay un programa que cada un tiempo verifica a ver si en la Flash est\u00e1 el archivo, y si no est\u00e1, lo copia. Tendr\u00edan que formatear la memoria y extraerla r\u00e1pidamente de la PC, pero eso no l\u00f3gico, ya que no la van poder poner hasta que no desinfecten la computadora.<\/p>\n\n\n\n

\u00bfQu\u00e9 hace?<\/h2>\n\n\n\n

Como dije anteriormente, no lo puedo catalogar como virus, hasta ahora no he visto cosas inusuales graves como para decir que es \u201cel peor virus de la historia\u201d. Pero si:<\/p>\n\n\n\n

1. Ralentiza el proceso de reconocimiento y carga de las memorias que lo tienen: cosa esta muy l\u00f3gica, ya que no s\u00f3lo tiene la m\u00e1quina que reconocer el nuevo hardware, sino que tiene que cargar y pasarle par\u00e1metros a un archivo que puede ir desde ser un \u00abHola Mundo\u00bb hasta un programa encargado de calcular el factorial de 1000.
2. Evita que la memoria pueda ser extra\u00edda en cualquier momento: esto no es siempre, y puede estar dado por la misma raz\u00f3n anterior, si un programa se carga desde la memoria, esto conllevar\u00eda a que la memoria no se puede extraer tan f\u00e1cil.

Estas son las cosas que veo que me hace, y lo que me han comentado, pero realmente puede ser una bomba de tiempo como el Melissa y activarse tanto en una fecha determinada como por una acci\u00f3n del usuario.<\/p>\n\n\n\n

\u00bfQu\u00e9 hago?<\/h2>\n\n\n\n

Bien, el virus funciona gracias a un autorun.inf<\/em> que est\u00e1 tambi\u00e9n dentro de la memoria. Este archivo no consta de mas de 4 l\u00edneas, pero en el se carga al doWTP_Restore.exe<\/em> y se le pasa par\u00e1metros inclusive. Lo primero es tener bien claro que no se debe formatear la memoria, ya que esto traer\u00eda como consecuencia que se sobreescriban los ficheros, y cualquier cosa que hayamos hecho para detener su efecto quedar\u00e1 obsoleta. Lo otro es que los archivos est\u00e1n ocultos y con atributos de s\u00f3lo lectura y de sistema. Para quitarles estos atributos, yo personalmente lo hago desde una ventana de MS-DOS escribiendo la siguiente l\u00ednea:<\/p>\n\n\n\n

Attrib \u2013r \u2013h \u2013s autorun.inf
Attrib \u2013r \u2013h \u2013s MSOCache<\/code><\/p>\n\n\n\n

Una vez hecho esto, los archivos est\u00e1n a la vista y listos para ser modificados. Ahora lo que tenemos que hacer es editar el autorun.inf<\/em> con cualquier editor de texto y borrarle todas las l\u00edneas de c\u00f3digo que tenga escritas. Luego lo guardamos con el mismo nombre y, por un problema de est\u00e9tica, podr\u00edamos concluir yendo al DOS y d\u00e1ndoles los atributos que ten\u00edan:<\/p>\n\n\n\n

Attrib +r +h +s autorun.inf
Attrib +r +h +s MSOCache<\/code><\/p>\n\n\n\n

Haciendo esto no quiere decir que se haya desinfectado ni la memoria ni la m\u00e1quina, pero al menos no estaremos contribuyendo a propagar el programa en cuesti\u00f3n, ya que al ejecutarse el autorun.inf<\/em> lo que har\u00eda ser\u00eda… nada. Y cuando el virus residente en nuestra m\u00e1quina intente copiar los archivos a la memoria, se dar\u00e1 cuenta que est\u00e1n ah\u00ed con esos mismos nombres y pensar\u00e1 que no en necesario copiarlos.<\/p>\n\n\n\n

La otra parte est\u00e1 en desactivar de la computadora al archivo que se encarga de infectar la memoria Flash.<\/p>\n\n\n\n

Para que el archivo pueda ejecuta su acci\u00f3n, debe estar en ejecuci\u00f3n. Yo tengo en mi PC un programa de nombre ProcessExplorer<\/em>, que me da una informaci\u00f3n bastante detallada de todas las aplicaciones que est\u00e1n corriendo en cada momento. El mismo no requiere de instalaci\u00f3n, lo que lo hace m\u00e1s port\u00e1til todav\u00eda. Pero a\u00fan as\u00ed, el que tenga cualquier otro, se dar\u00e1 cuenta que en hay un programa de nombre ctfmgr.exe<\/em> que no presenta ninguna descripci\u00f3n, no muestra el nombre de la compa\u00f1\u00eda por el cual fue creado ni nada. Simplemente lo que se debe hacer es terminar dicha aplicaci\u00f3n y todo su \u00e1rbol de procesos. Pero esto no para aqu\u00ed. Aunque el archivo est\u00e9 en la m\u00e1quina, en alg\u00fan momento debe ser cargado, y la forma m\u00e1s est\u00e1ndar de ejecutar aplicaciones al inicio de sesi\u00f3n es usando el Registro. Para eliminarlo del registro, debemos ir a la clave:<\/p>\n\n\n\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run<\/code><\/p>\n\n\n\n

Y eliminar el valor ctfmgr<\/em>, cuya direccion de carga es c:\\windows\\ctfmgr.exe<\/em><\/p>\n\n\n\n

Igualmente, podr\u00eda hacerse al abrir msconfig<\/em> desde la ventana Ejecutar<\/em> en el men\u00fa Inicio, luego ir hasta la pesta\u00f1a Inicio<\/em>, y all\u00ed desmarcar la casilla que haga referencia al archivo citado con anterioridad. Aunque quit\u00e1ndolo del Registro, desaparece autom\u00e1ticamente.<\/p>\n\n\n\n

Aclaro que esto, aunque funciona, no es el m\u00e9todo m\u00e1s apropiado para desinfectar la PC, ya que una persona inexperta, trabajando en el Registro de Windows, podr\u00eda introducir el delicado dedito en la tecla DELETE <\/em>luego de haber hecho clic en una clave importante, y si por casualidad alguien presiona el ENTER del teclado num\u00e9rico, a continuaci\u00f3n…<\/p>\n\n\n\n

Esto es m\u00e1s bien una soluci\u00f3n temporal hasta que Segurm\u00e1tica (que es la empresa que se encarga de darle tratamiento y soluci\u00f3n a los virus que afectan al pa\u00eds) saque en una de sus actualizaciones alguna soluci\u00f3n.<\/p>\n\n\n\n

Para saber m\u00e1s…<\/h2>\n\n\n\n