La mayoría de las páginas de virus comerciales recomiendan reiniciar Windows en modo seguro para poder ejecutar herramientas que remueven virus ó propiamente un antivirus. Sin embargo, en específico el virus que se trata en este post ataca el registro de Windows borrando la información que requiere el sistema para poder reiniciar en modo seguro, de hecho, la limpia del virus no es lo complicado sino el poder hacer que la máquina pueda iniciar en modo seguro.
¿Cómo saber si tengo el Bagle.@@?
Abra el Administrador de tareas (Task Manager) [CTRL+SHIFT+ESC] y busque los siguientes nombres en la pestaña de Procesos.
• Hldrrr.exe
• Flec###.exe (# puede ser cualquier dígito)
• Mdelk.exe
• Wintems.exe
Otra forma de saber con precisión qué variante del Bagle se tiene es realizar un escaneo en línea con un antivirus comercial (se recomienda si la conexión a Internet es rápida, de lo contrario este proceso puede ser algo tardado) por mencionar algunos, Panda, Kaspersky, etc.
En caso de que haya encontrado uno o más de estos procesos seguramente su máquina está contagiada con alguna de las variantes del Bagle. Se recomienda tener acceso a una máquina limpia de virus para la descarga de las herramientas que a continuación se describen ya que el virus es tan efectivo que detecta a la mayoría de los archivos ejecutables que se cargan en memoria y cuyo objetivo es la eliminación del virus, en algunos casos daña al archivo ejecutable ó en otros simplemente no permite su ejecución.
De igual manera se recomienda el uso de una memoria flash USB, SD, miniSD, microSD, MMC, etc. Que cuente con el seguro de ‘sólo lectura’ para poder ejecutar las herramientas desde la memoria y que el virus no dañe a los archivos ejecutables.
Herramientas empleadas
• http://www.google.com.mx/
• ComboFix.exe -> Renombrar este ejecutable, a mí me funcionó « fc.exe »
• EliBaglA.exe
Si Usted tiene problemas para iniciar Windows en modo seguro ejecute desde el paso 1, de lo contrario puede empezar desde el paso 4.
Pasos para restaurar el inicio en modo seguro de Windows
1. Desde una máquina no infectada acceda al registro de Windows [tecla WINDOWS + R] y tecleé “regedit”
[Usuario básico] Googlear “Acceder al registro de Windows”
Exporte a un archivo .REG los valores de la llave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
[Usuario básico] Googlear “Exportar valores del registro de Windows”
Copie el archivo .reg a su memoria flash.
2. Cierre todos sus programas y ejecute ComboFix (renombrado previamente ya que el virus lo detecta por su nombre e impide su ejecución) desde la memoria flash con el seguro de sólo lectura. Durante el proceso la barra de tareas desaparecerá por unos momentos, lo cual es normal, se recomienda no hacer nada más.
En mi caso mi máquina estaba tan infectada que sólo removió algunos de los archivos infectados y se produjo una pantalla azul (blue screen) de error de volcado en memoria. Sin embargo, fue suficiente para realizar el paso 3.
3. Haga doble clic en el archivo .REG desde su memoria flash para insertar/importar los valores relacionados con el inicio de Windows en modo seguro.
Verifique que los valores hayan sido insertados, abra el REGEDIT y consulte si existe la llave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot"
Uno de los ataques del Bagle consiste en borrar continuamente estos valores del registro de Windows. Si usted no encontró los valores insertados el virus sigue activo por lo que será necesario realizar nuevamente el paso 2.
4. Si el paso anterior fue llevado con éxito, reinicie Windows en modo seguro (presionar F5 o F8 durante el arranque) y seleccione “Iniciar Windows en modo seguro”, se recomienda seleccionar con Funciones de red aunque es opcional.
[Usuario básico] Googlear “Arranque de Windows en modo seguro”
5. Ejecute la herramienta EliBaglA.exe, en el proceso la máquina se reiniciará.
6. Listo, se recomienda después de la realización de los pasos anteriores realizar un escaneo en línea de cualquier antivirus comercial (Panda, Kaspersky, por sólo mencionar los que probé)
En mi caso, el antivirus que tenía “Trend Micro OfficeScan Client” fue dañado y tuve que reinstalarlo, otro de los antivirus que recomiendo por su alta efectividad es el Avast!.
Espero haber sido de su ayuda y les recuerdo que estos pasos son los que ejecuté para remover la variante Bagle.RP, otras variantes pueden tener otros pasos para su limpieza. Asimismo, estoy abierto a cualquier corrección, crítica o duda que ustedes pudieran tener.
Saludos.
Rulo.