1. /
  2. Security Response/
  3. Wscript.Kakworm Removal Tool
  4. Wscript.Kakworm Removal Tool

Wscript.Kakworm Removal Tool

Actualizado:
13 de Febrero de 2007 11:33:56 AM
Tipo:
Removal Information

NOTA: Existen dos versiones de este gusano: Wscript.KakWorm y Wscript.KakWorm.B. La herramienta a la que se hace referencia en esta página sólo sirve para el gusano Wscript.KakWorm.
Vaya aquí para obtener la herramienta de eliminación de Wscript.KakWorm.B.

Cómo obtener y utilizar la herramienta de reparación de Wscript.KakWorm
Para utilizar esta herramienta, se recomienda que descargue el archivo Fixkak.exe en el escritorio de Windows o en una carpeta del disco duro. Una vez hecho esto, siga los pasos que se describen a continuación:
  1. Cierre todos los programas.
  2. Haga doble clic en Fixkak.exe para ejecutarlo. Se abrirá un cuadro de diálogo correspondiente a la herramienta de reparación.
  3. Haga clic en Remove y aparecerá uno de estos tres posibles mensajes:
    • "Your computer is not infected." Es decir, que su sistema está limpio y no necesita hacer nada.
    • "Your computer has been successfully restored." Es decir, que el gusano se ha eliminado y que, por lo tanto, se ha reparado el daño que el gusano hubiese podido ocasionar en su sistema.
    • "An error occurred during execution of this program." Es decir, que la herramienta de eliminación ha encontrado un problema que no ha podido arreglar; de modo que tendrá que eliminar el virus manualmente. Consulte esta página para obtener las instrucciones de eliminación manual.

Utilidad de la herramienta
La herramienta de reparación de Wscript.KakWorm funciona únicamente en Windows 95 o 98 y en Windows NT. Aplica los siguientes cambios al sistema:
  • Busca el archivo Kak.hta, que el gusano sitúa en la carpeta Inicio. Si se localiza el archivo y el CRC (comprobación por redundancia cíclica) coincide, se eliminará el archivo. CRC es un número derivado de un bloque de datos que detecta si existen daños cuando se transfieren los datos.
  • Busca el valor cAgOu en la siguiente clave de registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Si este valor existe, se eliminará.
  • La herramienta buscará también todas las claves que se encuentren en:

    HKEY_CURRENT_USER\Identities\<subclaves>\Software\Microsoft\Outlook Express\5.0\Signatures

    donde <subclaves> se corresponde con todas las subclaves posibles de HKEY_CURRENT_USER\Identities
  • Busca el valor de Default Signature en la clave Signatures para Outlook Express 5.0. Del mismo modo, se eliminará si existe.
  • Busca Kak.htm en la carpeta Windows y lo elimina.
  • Restaura el archivo Autoexec.bat original.
  • Si se encuentra, la herramienta también eliminará la subclave \00000000 creada por el virus en:

    HKEY_CURRENT_USER\Identities\???\Software\Microsoft\Outlook Express\5.0\Signatures\00000000

    NOTA: puesto que el gusano no guarda esta información, la herramienta no restaurará la firma predeterminada de Outlook Express, en caso de que existiese alguna antes de que Outlook Express se infectase.

Información acerca de Chktrust
Para verificar la firma digital de Fixkak.exe ejecute Chktrust.exe:
  1. Descargue Chktrust.exe en la misma carpeta en la que haya guardado Fixkak.exe.
  2. Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
  3. Cambie a la ubicación en la que hayan guardado Fixkak.exe y Chktrust.exe. Por ejemplo, si guardó los archivos en el escritorio de Windows, debe escribir:

    cd \windows\escritorio
  4. Escriba el siguiente comando para comprobar la firma digital de Fixkak.exe:

    chktrust -i fixkak.exe
  5. Si la firma digital es válida, aparecerá un mensaje similar al siguiente:

    "Se pide su aprobación para instalar y ejecutar 'Fix Kak Utility' firmado el 28/07/01 17:58 y distribuido por Symantec Corporation."

    NOTAS:
    • La fecha y la hora de este mensaje se ajustarán a las de su zona horaria siempre que su equipo no esté configurado según la zona horaria del Pacífico. Así, por ejemplo, si vive en la zona horaria oriental, la fecha y la hora será 28/07/00 20:38.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • También puede aparecer el mensaje "Result: 0". Este hecho indica que el resultado del análisis es positivo y que el archivo pertenece a Symantec.
    • Sin embargo, si el mensaje no aparece o la fecha y la hora no se ajustan a su zona horaria, no debe utilizar esta copia de Fixkak.exe, puesto que no pertenece a Symantec.
  6. Haga clic en Sí para cerrar el cuadro de diálogo de Chktrust.
  7. Escriba exit y presione INTRO.

Resumen