1. /

W32.Nimda.A@mm Removal Tool

Detectado:
19 de Septiembre de 2001
Actualizado:
13 de Febrero de 2007 11:33:34 AM
Tipo:
Removal Information

Symantec ha creado una herramienta para eliminar las infecciones provocadas por W32.Nimda.A@mm. Si desea leer una descripción detallada (en inglés) de esta amenaza, haga clic aquí.

    Advertencia. Antes de continuar, por favor, lea esto:
    Hay diversas variedades de W32.Nimda en circulación. Éstas son dos de las más difundidas:
    • W32.Nimda.A@mm
    • W32.Nimda.E@mm
    Symantec Security Response ha creado herramientas de eliminación específicas para ambas amenazas. Las herramientas no son intercambiables. Antes de utilizar una herramienta de eliminación, tiene que saber qué variedad ha infectado el sistema. La herramienta que puede descargar de este documento sirve para eliminar las infecciones provocadas por W32.Nimda.A@mm. (Fíjese en ".A"). Esta herramienta NO elimina las infecciones provocadas por W32.Nimda.E@mm. Si tiene que eliminar una infección causada por W32.Nimda.E@mm, haga clic aquí (este recurso se encuentra en inglés)
      Para obtener y ejecutar la herramienta W32.Nimda.A@mm:

      NOTAS:
      • Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT, Windows 2000 o Windows XP.
      • Si ejecuta la herramienta en un servidor Microsoft Exchange 2000, tendrá que detener el servicio Microsoft Exchange para evitar que la herramienta intente analizar la unidad virtual M.
      • La herramienta no se ejecuta en servidores Novell. No se pueden reparar los archivos infectados situados en un servidor Novell. El servidor Novell en sí no estará infectado, pero todos los archivos ubicados en el servidor pueden almacenar el código del virus. En los volúmenes Novell, tiene que eliminar todos los archivos en los que se detecte una infección, y recuperarlos a partir de una copia de respaldo limpia.

      IMPORTANTE: Por favor, lea esto:
      Si se encuentra en una o ambas de las siguientes situaciones:
      • Después de ejecutar la herramienta, ya no funcionan programas tales como Microsoft Word.
      • Cuando ejecuta la herramienta, aparece un mensaje similar a "El archivo "not" está infectado y *$#&#$*#@ reparado???".
      el virus ha dañado al archivo Riched20.dll de Microsoft Windows. Tendrá que reemplazar este archivo y, en muchos casos, también tendrá que volver a instalar Word u Office. Consulte la sección Cómo extraer Riched20.dll, casi al final de este documento.
      1. Haga clic aquí para descargar el archivo Fixnimda.com de http://securityresponse.symantec.com/avcenter/Fixnimda.com (este recurso se encuentra en inglés). Guarde el archivo en una ubicación adecuada como, por ejemplo, en la carpeta que destine a las descargas o en el escritorio de Windows.
      2. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
      3. Cierre todos los programas antes de ejecutar la herramienta.
      4. Si está utilizando Windows Me o XP, desactive Restaurar sistema. Consulte la sección Opción Restaurar sistema de Windows Me/XP si desea obtener más detalles al respecto.

        NOTA: recomendamos insistentemente que no omita este paso, si ejecuta Windows Me/XP.
      5. Haga doble clic en el archivo Fixnimda.com para iniciar la herramienta de eliminación.

        ADVERTENCIA: si está en red, debe aplicar la herramienta de reparación a todos los equipos, incluidos los servidores.
      6. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
      7. Symantec recomienda ejecutar la herramienta hasta que se le indique que el sistema está limpio.
      8. Si fuera necesario, descargue los parches adecuados de Microsoft para reparar los fallos de sistemas vulnerables. Estos parches pueden encontrarse en:
      9. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red y de la conexión a Internet. Desactive el uso compartido de los archivos o protéjalos con una contraseña antes de volver a conectar los equipos a la red o a Internet. Puesto que este gusano se propaga usando carpetas compartidas en equipos en red, para asegurarse de que el gusano no vuelva a infectar otro equipo después de eliminarlo, Symantec sugiere compartir con acceso de sólo lectura o utilizando una contraseña como protección. Si desea más instrucciones sobre cómo hacerlo, consulte la documentación de Windows o el documento Configuración de las carpetas compartidas de Windows para obtener la máxima protección en la red.
      10. Reinicie el equipo.
      11. Ejecute otra vez la herramienta para asegurarse de que el sistema quede limpio.
      12. Instale los parches de Microsoft necesarios para cubrir los puntos vulnerables conocidos.
      13. Vuelva a conectar el sistema limpio a la red o vuelva a activar la conexión permanente a Internet.
      14. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
      15. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.

        NOTA: el procedimiento de eliminación podría no funcionar si Restaurar sistema de Windows Me/XP no se desactiva como se ha especificado arriba, ya que Windows impide que otros programas modifiquen la función Restaurar sistema. Por este motivo, la eliminación podría no llevarse a cabo correctamente.

      Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Nimda.A@mm. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
      • El número total de archivos analizados.
      • El número de archivos eliminados.
      • El número de archivos reparados.
      • El número de procesos víricos terminados.

      La firma digital
      Fixnimda.com está firmado digitalmente. Symantec recomienda utilizar sólo las copias de Fixnimda.com que se hayan descargado directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
      1. Acceda a http://www.wmsoftware.com/free.htm.
      2. Descargue y guarde el archivo chktrust.exe en la carpeta en la que guardó Fixnimda.com (por ejemplo, C:\Descargas).
      3. Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
      4. Cambie a la carpeta donde almacenó los archivos Fixnimda.com y Chktrust.exe y escriba:

        chktrust -i Fixnimda.com

        Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba:

        cd\
        cd descargas
        chktrust -i Fixnimda.com


        Presione INTRO después de cada comando.
      5. Si la firma digital es válida, aparecerá la siguiente línea de comando:

        Se pide su aprobación para instalar y ejecutar "Nimda Fix Tool" firmada el 10/9/2001 11:56 AM y distribuida por Symantec Corporation."

        NOTAS:
        • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
        • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
        • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
          • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
          • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor.
      6. Haga clic en Sí para cerrar el cuadro de diálogo.
      7. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

      Utilidad de la herramienta
      La herramienta W32.Nimda.A@mm realiza las siguientes acciones:
      1. Termina todos los procesos asociados con el virus.
      2. Termina los procesos de Explorer.exe y lo reinicia. Este paso es necesario porque el virus se inocula a sí mismo en Explorer.exe. Por este motivo, el escritorio parpadeará (lo cual está previsto).
      3. Detecta todos los tipos de infección W32.Nimda.A@mm. Repara los archivos que pueden repararse. Elimina los archivos .EML, .NWS, .DOC y .TXT en los que haya detectado una infección.

        NOTA: la herramienta no elimina los archivos .EML cuya extensión sea distinta de las cuatro mencionadas arriba. Por ejemplo, no se eliminará un archivo con la extensión doble .EML.BAD. Tendrá que eliminar a mano los archivos así.
      4. Repara el archivo System.ini eliminando las modificaciones realizadas en la línea shell=.
      5. Elimina la cuenta de invitado del grupo Administrador y desactiva la cuenta de invitado en el grupo Invitados.
      6. Repara varias infecciones de HTML.
      7. Recupera la configuración de seguridad predeterminada de los archivos y carpetas compartidos.

        NOTAS IMPORTANTES:
        • Windows NT/2000/XP. Esta herramienta recuperará la configuración de seguridad original de los recursos compartidos de Windows NT/2000/XP si el equipo no se ha reiniciado desde el arranque del virus. La única excepción serán los recursos compartidos que sólo tengan asignado el derecho Todos [Control total]. Estos recursos no pueden distinguirse de los recursos compartidos modificados por el virus, y se configurarán como grupo Administrador [Control total].
        • Windows 95/98/Me. En los equipos Windows 95/98/Me que no se hayan reiniciado, la herramienta recuperará la configuración de seguridad de los recursos compartidos anterior a la infección. Si se ha reiniciado el equipo, la herramienta aplicará los siguientes valores de configuración:
          • Se aplicará la "Contraseña de lectura y escritura de recurso compartido Win9x" a los recursos compartidos con el tipo de acceso "Completo". Se aplicará la "Contraseña de sólo lectura de recurso compartido Win9x" a los recursos compartidos con el tipo de acceso "Sólo lectura".
          • Ambas contraseñas se aplicarán a los recursos compartidos con el tipo de acceso "Depende de la contraseña".
      8. Elimina los valores del Registro modificados para impedir que el Explorador de Windows muestre archivos ocultos o extensiones de archivos conocidas. Al eliminar estos valores, se recuperan sus configuraciones predeterminadas. Debe volver a configurar estas opciones con los valores deseados. (Para hacerlo, en el Explorador de Windows, haga clic en el menú Ver (en Windows 95/98/NT) o en el menú Herramientas (en Windows Me/2000) y seleccione Opciones o Carpeta. Cambie los valores que desee.)


      Parámetros de línea de comandos disponibles en esta herramienta:
      /NOFIXSHARE: desactiva la reparación del recurso compartido (el uso de este parámetro no es recomendable).
      /NOFIXREG: desactiva la reparación del Registro (el uso de este parámetro no es recomendable).
      /SILENT, /S: activa el modo silencioso.
      /LOG=ruta de acceso: crea un archivo de registro en el que <ruta de acceso> es la ubicación en que se almacenan los resultados de la herramienta.
      /RWPWD=contraseña: aplica esta contraseña a los recursos compartidos de lectura y escritura Win9x.
      /ROPWD=contraseña: aplica esta contraseña a los recursos compartidos de sólo lectura Win9x.
          ADVERTENCIA: Una vez que un equipo resulta atacado por W32.Nimda.A@mm, es posible que se produzcan accesos remotos al sistema por parte usuarios no autorizados. Por este motivo, resulta imposible garantizar la integridad del sistema tras la infección. El usuario remoto podría haber efectuado cambios en el sistema que pueden resumirse, a título orientativo pero no exhaustivo, en los siguientes:
          • Robo o cambio de contraseñas o archivos de contraseñas.
          • Instalación de un host de conexión remota, conocido también como puerta trasera.
          • Instalación de software de registro de teclas presionadas.
          • Configuración de normas de firewall
          • Robo de números de tarjetas de crédito, información bancaria, datos personales, etc.
          • Eliminación o modificación de archivos.
          • Envío de material inadecuado o incriminatorio desde la cuenta de correo electrónico de un cliente.
          • Modificación de los derechos de acceso en archivos o cuentas de usuario.
          • Eliminación de información de archivos de registro para ocultar tales actividades.
          Si desea garantizar la seguridad de la organización al completo, deberá reinstalar para ello el sistema operativo, restaurar los archivos desde una copia de respaldo anterior a la infección y cambiar todas las contraseñas que hubiese en los equipos infectados o a las que pudiese accederse desde ellos. Ésta es la única forma de garantizar la seguridad de dichos sistemas informáticos. Si desea obtener más información sobre la seguridad en la organización, póngase en contacto con su administrador de sistema.
        La función Restaurar sistema de Windows ME/XP
        Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
        Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder de la Base de conocimientos de Microsoft, cuyo ID es: Q263455.

        Cómo extraer Riched20.dll
        Si nota cualquier error al iniciar programas como Microsoft Word o éstos no se inician, tendrá que extraer el archivo Riched20.dll. (Otra posibilidad consiste en reinstalar el sistema operativo y los programas afectados.)

        Consulte las instrucciones que correspondan a su sistema operativo.

        NOTA: estas instrucciones se proporcionan para su comodidad y funcionan en la mayoría de los equipos. Si desea obtener información adicional sobre la extracción de archivos, incluidos otros archivos de Windows que hayan podido resultar dañados, consulte un documento de los siguientes:
        Windows 95/98

        Necesita utilizar el comando Extract en la línea de comandos de DOS. Siga estos pasos para hacerlo utilizando las instrucciones relativas a su sistema operativo.
          NOTAS:
          • Necesita un disco de inicio de Windows 98/Me. (En el caso de Windows 95, también necesita uno que haya sido creado en un equipo con Windows 98/Me.) Si desea obtener instrucciones acerca de cómo crear uno, consulte el documento How to create a Windows Startup disk. (Este recurso se encuentra en inglés.)
          • Tenga el CD de instalación de Windows a mano.
          • Cuando escriba el comando, sustituya la letra x por la letra que designa su unidad de CD-ROM. Por ejemplo, si está usando Windows 98 y la unidad de CD-ROM es la D, debe escribir:

            extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
          • Si Windows se encuentra instalado en una carpeta distinta de C:\Windows, sustituya la ruta o el nombre de carpeta correspondientes en la última parte del comando, que se refiere a la carpeta \Windows.
          • Si desea obtener instrucciones más detalladas sobre cómo utilizar el comando Extract, consulte el documento de Microsoft How to Extract Original Compressed Windows Files, cuyo ID de artículo es: Q129605. (Este recurso se encuentra en inglés.)
          • Como alternativa a este procedimiento, existe otro más sencillo todavía si trabaja con Windows 98, en el que puede emplear el Comprobador de archivos de sistema para restaurar el archivo. Si desea obtener información sobre cómo hacerlo, consulte la documentación de Windows.
            1. Apague el equipo y desconéctelo de la corriente. Cuando esté apagado, inserte el disco de inicio de Windows 98/ME en la unidad correspondiente y encienda de nuevo el equipo. En el menú, seleccione Iniciar equipo con compatibilidad de CD-ROM.
            2. Escriba el comando correspondiente a su sistema operativo:
          • En Windows 98, escriba lo siguiente y presione INTRO:
          • extract /a d:\win98\win98_28.cab riched20.dll /L c:\windows\system
          • En Windows 95, escriba lo siguiente y presione INTRO:
          • extract /a win95_10.cab riched20.dll /L c:\windows\system

            NOTA: si aparece un mensaje de error de cualquier tipo, repita el paso 2 asegurándose de que escribe el comando correspondiente a su sistema operativo y que lo hace exactamente como se ha indicado. En caso contrario, escriba exit y presione INTRO.

          Windows NT 4.0
          1. Asegúrese de que Windows esté configurado para mostrar todos los archivos.
          2. Busque y elimine todos los archivos Riched20.dll.
          3. Vuelva a aplicar la versión de Service Pack más reciente. Service Pack reemplazará el archivo con una copia.
          4. Si, una vez hecho esto, los programas como Microsoft Word u Office no funcionan o aparecen mensajes de error al iniciarlos, es posible que tenga que volver a instalar Microsoft Office.

          Windows 2000
          En Windows 2000, un programa integrado localiza y reemplaza los archivos de sistema que faltan o han sufrido daños. Para reemplazar la versión dañada de Riched20.dll, lleve a cabo los pasos que se describen a continuación:
          1. Asegúrese de que el Comprobador de archivos de sistema se encuentra activado:
            1. Haga clic en Inicio y seleccione Ejecutar.
            2. Escriba cmd y haga clic en Aceptar.
            3. Escriba lo siguiente y presione INTRO:

              sfc /enable
            4. Escriba exit y presione INTRO.
          2. Asegúrese de que Windows esté configurado para mostrar todos los archivos:
            1. Inicie el Explorador de Windows.
            2. Haga clic en el menú Herramientas y, a continuación, en Opciones de carpeta.
            3. Haga clic en la pestaña Ver.
            4. Desactive la opción "Ocultar extensiones para los tipos de archivos conocidos".
            5. Desactive la opción "Ocultar archivos protegidos del sistema operativo" y, debajo de la carpeta "Archivos y carpetas ocultos", marque la opción "Mostrar todos los archivos y carpetas ocultos".
            6. Haga clic en Aplicar y, a continuación, en Aceptar.
          3. Busque el archivo Riched20.dll:
            1. Haga clic en Inicio, coloque el puntero sobre Buscar y, a continuación, haga clic en Archivos o carpetas.
            2. Asegúrese de que la unidad seleccionada en la opción Buscar en sea (C:) y que la opción Incluir subcarpetas esté marcada.
            3. En los cuadros "Nombre" o "Con el texto": del cuadro de diálogo, escriba (o copie y pegue) el siguiente nombre de archivo:

              riched20.dll
            4. Haga clic en Buscar ahora.
            5. Elimine los archivos encontrados.
          4. Reinicie el equipo.
          5. El Comprobador de archivos de sistema reemplazará cualquier versión de Riched20.dll que falte. Si, una vez hecho esto, los programas como Microsoft Word u Office no funcionan o aparecen mensajes de error al iniciarlos, es posible que tenga que volver a instalar Microsoft Office.
        Resumen