1. /
  2. Security Response/
  3. CodeRed Removal Tool
  4. CodeRed Removal Tool

CodeRed Removal Tool

Actualizado:
13 de Febrero de 2007 11:33:25 AM
Tipo:
Removal Information

La herramienta de eliminación de CodeRed proporciona los elementos necesarios para acabar con el CodeRed I y II, incluyendo el CodeRed F, y evalúa la vulnerabilidad del su equipo. Symantec proporciona una herramienta segura y fiable para eliminar los efectos de una infección de CodeRed.

Para obtener y ejecutar la herramienta:
  1. Acceda a http://www.sarc.com/avcenter/FixCRed.exe.
  2. Descargue el archivo FixCRed.exe en una ubicación adecuada como, por ejemplo, en la carpeta que destine a las descargas o en el escritorio de Windows.
  3. Para comprobar la autenticidad de la firma digital, consulte la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta, incluidos los análisis de antivirus, como Auto-Protect de Norton Antivirus (NAV).

    ADVERTENCIA: No omita este paso. Debe desactivar Auto-Protect antes de ejecutar la herramienta. Si desea obtener más instrucciones acerca de este punto, consulte el documento How to enable and disable Norton AntiVirus Auto-Protect. (Este recurso se encuentra en inglés.)
  5. Haga doble clic en el archivo FixCRed.exe para iniciar la herramienta de eliminación.

    NOTA: si ha descargado la herramienta en un disquete y desea ejecutarla desde esa unidad, consulte la sección Cómo ejecutar la herramienta desde un disquete, que aparece al final de este documento, para obtener instrucciones más precisas.
  6. Haga clic en Start para que se inicie el proceso y, de este modo, se ejecute la herramienta.
  7. Después, vuelva a activar Auto-Protect.

NOTAS:
  • La herramienta de eliminación sólo buscará los gusanos CodeRed I y II en Windows 2000. No obstante, detectará y eliminará Trojan.VirtualRoot en todas las versiones de Windows.
  • Cuando finalice el proceso, esta herramienta también detectará si existen recursos compartidos abiertos, eliminándolos de forma automática en caso de que existan.

Una vez que la herramienta termine de ejecutarse, aparecerá un mensaje indicando si el equipo ha sido infectado con el gusano CodeRed o con Trojan.VirtualRoot. Asimismo, se le advertirá con un mensaje si el equipo es vulnerable a una nueva infección. Así pues, tanto en un caso como en el otro, la herramienta abrirá el explorador de Web predeterminado y cargará la página de Microsoft que contiene el parche. La herramienta no localizará Trojan.VirtualRoot en el análisis hasta que se aplique este parche.

En el caso de que se elimine un Caballo de Troya Trojan.VirtualRoot, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.

Utilidad de la herramienta
La herramienta realiza las siguientes tareas:
  1. Analiza la memoria para detectar la presencia de todas las variantes conocidas de CodeRed.
  2. Evalúa la vulnerabilidad del equipo. De este modo, si el equipo es vulnerable, la herramienta abrirá el explorador de Web y cargará la página de Microsoft en la que se incluye el parche.
  3. Intenta determinar los procesos de CodeRed y Trojan.VirtualRoot.
  4. Analiza y elimina los archivos Trojan.VirtualRoot que haya depositado CodeRed II.
  5. Elimina las asignaciones del Servicio de información de Internet (IIS, Internet Information Service) para /Scripts o /MSADC y restaura el Comprobador de archivos de sistema.
  6. Elimina los cuatro archivos siguientes, siempre que existan:
    • C:\inetpub\Scripts\Root.exe
    • D:\inetpub\Scripts\Root.exe
    • C:\Archiv~1\Archiv~1\System\MSADC\Root.exe
    • D:\Archiv~1\Archiv~1\System\MSADC\Root.exe
  7. Detecta y elimina automáticamente los recursos compartidos abiertos que haya creado Trojan.VirtualRoot.

La firma digital
FixCRed.exe está firmado digitalmente. Symantec recomienda utilizar sólo las copias de FixCRed.exe que se hayan descargado directamente del sitio de descargas del Centro de investigación antivirus de Symantec (SARC, Symantec AntiVirus Research Center). Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/pub/chktrust.exe.
  2. Guarde el archivo Chktrust.exe en la misma carpeta en la que guardó FixCRed.exe; por ejemplo, C:\Descargas.
  3. Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
  4. Cambie a la carpeta donde se almacenó los archivos FixCRed.exe y Chktrust.exe y, entonces, escriba:

    chktrust -i FixCRed.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, tendrá que acceder a esa carpeta e introducir el comando del siguiente modo:

    cd\
    cd descargas
    chktrust -i FixCRed.exe


    Presione INTRO después de cada comando.
  5. Si la firma digital es válida, aparecerá la siguiente línea de comando:

    "Se pide su aprobación para instalar y ejecutar 'Code Red Fix Tool' firmado el 09/08/01 22:58 y distribuido por Symantec Corporation."

    NOTAS:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona
      horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, no utilice esa copia de FixCRed.exe, puesto que no pertenece a Symantec.
  6. Haga clic en Sí para cerrar el cuadro de diálogo.
  7. Escriba exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

Cómo ejecutar la herramienta desde un disquete
  1. Inserte el disquete que alberga el archivo FixCRed.exe en la unidad correspondiente.
  2. Haga clic en Inicio y seleccione Ejecutar.
  3. Escriba lo siguiente y, después, haga clic en Aceptar:

    a:FixCRed.exe
  4. Haga clic en Start para que se inicie el proceso y, de este modo, se ejecute la herramienta.

Resumen