Tuesday, June 3, 2008

Pasos para remover el virus/gusano Bagle.RP

Pues ya inspirado me sigo de frente con mi granito de arena :-) Trataré de ser lo más breve posible en describir los pasos para remover el virus/gusano Win32.Bagle.RP una de las variantes más difíciles de remover.

La mayoría de las páginas de virus comerciales recomiendan reiniciar Windows en modo seguro para poder ejecutar herramientas que remueven virus ó propiamente un antivirus. Sin embargo, en específico el virus que se trata en este post ataca el registro de Windows borrando la información que requiere el sistema para poder reiniciar en modo seguro, de hecho, la limpia del virus no es lo complicado sino el poder hacer que la máquina pueda iniciar en modo seguro.

¿Cómo saber si tengo el Bagle.@@?

Abra el Administrador de tareas (Task Manager) [CTRL+SHIFT+ESC] y busque los siguientes nombres en la pestaña de Procesos.

• Hldrrr.exe
• Flec###.exe (# puede ser cualquier dígito)
• Mdelk.exe
• Wintems.exe

Otra forma de saber con precisión qué variante del Bagle se tiene es realizar un escaneo en línea con un antivirus comercial (se recomienda si la conexión a Internet es rápida, de lo contrario este proceso puede ser algo tardado) por mencionar algunos, Panda, Kaspersky, etc.

En caso de que haya encontrado uno o más de estos procesos seguramente su máquina está contagiada con alguna de las variantes del Bagle. Se recomienda tener acceso a una máquina limpia de virus para la descarga de las herramientas que a continuación se describen ya que el virus es tan efectivo que detecta a la mayoría de los archivos ejecutables que se cargan en memoria y cuyo objetivo es la eliminación del virus, en algunos casos daña al archivo ejecutable ó en otros simplemente no permite su ejecución.

De igual manera se recomienda el uso de una memoria flash USB, SD, miniSD, microSD, MMC, etc. Que cuente con el seguro de ‘sólo lectura’ para poder ejecutar las herramientas desde la memoria y que el virus no dañe a los archivos ejecutables.

Herramientas empleadas

http://www.google.com.mx/
• ComboFix.exe -> Renombrar este ejecutable, a mí me funcionó « fc.exe »
• EliBaglA.exe

Si Usted tiene problemas para iniciar Windows en modo seguro ejecute desde el paso 1, de lo contrario puede empezar desde el paso 4.

Pasos para restaurar el inicio en modo seguro de Windows

1. Desde una máquina no infectada acceda al registro de Windows [tecla WINDOWS + R] y tecleé “regedit”

[Usuario básico] Googlear “Acceder al registro de Windows”

Exporte a un archivo .REG los valores de la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

[Usuario básico] Googlear “Exportar valores del registro de Windows”

Copie el archivo .reg a su memoria flash.

2. Cierre todos sus programas y ejecute ComboFix (renombrado previamente ya que el virus lo detecta por su nombre e impide su ejecución) desde la memoria flash con el seguro de sólo lectura. Durante el proceso la barra de tareas desaparecerá por unos momentos, lo cual es normal, se recomienda no hacer nada más.

En mi caso mi máquina estaba tan infectada que sólo removió algunos de los archivos infectados y se produjo una pantalla azul (blue screen) de error de volcado en memoria. Sin embargo, fue suficiente para realizar el paso 3.

3. Haga doble clic en el archivo .REG desde su memoria flash para insertar/importar los valores relacionados con el inicio de Windows en modo seguro.

Verifique que los valores hayan sido insertados, abra el REGEDIT y consulte si existe la llave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"

Uno de los ataques del Bagle consiste en borrar continuamente estos valores del registro de Windows. Si usted no encontró los valores insertados el virus sigue activo por lo que será necesario realizar nuevamente el paso 2.

4. Si el paso anterior fue llevado con éxito, reinicie Windows en modo seguro (presionar F5 o F8 durante el arranque) y seleccione “Iniciar Windows en modo seguro”, se recomienda seleccionar con Funciones de red aunque es opcional.

[Usuario básico] Googlear “Arranque de Windows en modo seguro”

5. Ejecute la herramienta EliBaglA.exe, en el proceso la máquina se reiniciará.

6. Listo, se recomienda después de la realización de los pasos anteriores realizar un escaneo en línea de cualquier antivirus comercial (Panda, Kaspersky, por sólo mencionar los que probé)

En mi caso, el antivirus que tenía “Trend Micro OfficeScan Client” fue dañado y tuve que reinstalarlo, otro de los antivirus que recomiendo por su alta efectividad es el Avast!.

Espero haber sido de su ayuda y les recuerdo que estos pasos son los que ejecuté para remover la variante Bagle.RP, otras variantes pueden tener otros pasos para su limpieza. Asimismo, estoy abierto a cualquier corrección, crítica o duda que ustedes pudieran tener.

Saludos.

Rulo.
Posted by at 9 comments:

Thursday, May 22, 2008

Generar y consumir conocimiento 100% mexicano

Hola a todos, después de un largo (pero largo receso) estoy de vuelta para retomar esto del blog. :)

En esta semana viví en carne propia los estragos de un virus muy fuerte, a decir verdad, el que más lata y trabajo me ha dado para removerlo, tras dos días de intensas batallas, reiniciaciones de máquina y lectura de foros por fin pude removerlo y rescatar a ‘mi niña’ del virus Bagle.rp.worm.

Encontré información del virus en las páginas de antivirus comerciales, que sin tratar de que este post haga propaganda, la verdad de todos ellos el Panda fue el que más información me dio y el que más cerca me tuvo para poder remover el virus. Desafortunadamente después del extenso escaneo me pidió registrarme (gratis) para poder remover el virus y, entre el firewall de mi trabajo y el virus, nunca pude realizar el registro y por consecuencia no pude remover el virus de una manera cómoda por lo que tuve que arremangarme la camisa e intentarlo de manera manual. :)

Conforme iba buscando en los foros me di cuenta que la mayoría de ellos están en inglés y sólo unos cuantos en español, afortunadamente no estoy peleado con el idioma inglés y la verdad todos los foros fueron de gran ayuda para finalmente poder remover el gusano que me había infectado.

Ya después de que respiré tranquilo por el regreso de mi máquina, caí en la cuenta de que de los foros en español no encontré ninguno pero absolutamente ninguno que fuera de México en cuanto al tratamiento de virus. Si acaso en los foros gallegos encontré a varios usuarios que eran de México posteando ya sea su problema o a veces compartiendo una solución pero como tal un foro 100% mexicano no encontré, si alguien sabe de alguno por favor hágamelo saber.

Para terminar este post quisiera animar al lector(a) que adquiramos cada vez más la cultura de compartir y generar el conocimiento en cuanto a software se refiere, así como cada vez hay más foros/blogs mexicanos (pero aún son muy pocos, considero yo) los que tratan metodologías de desarrollo, arquitectura, consejos de algún lenguaje de programación en particular, también generar conocimiento para videojuegos, virus o cualquier otro tipo de anécdota no precisamente formal. El caso es ser generadores y consumidores de lectura del software.

Nuevamente sin que este post sea propaganda yo recomiendo las siguientes páginas para su lectura:

http://www.sg.com.mx – Software Gurú

http://podcast.pozotecnico.com – Pozo Técnico

Además, claro, de las que están ligadas a este sitio.

Saludos.

Rulo.

Posted by at 1 comment:
Labels: , , ,
Subscribe to: Posts (Atom)