1. /
  2. Security Response/
  3. W32.Bugbear@mm Removal Tool
  4. W32.Bugbear@mm Removal Tool

W32.Bugbear@mm Removal Tool

Detectado:
1 de Octubre de 2002
Actualizado:
13 de Febrero de 2007 11:34:08 AM
Tipo:
Removal Information


IMPORTANTE - LEA PRIMERO:
  • Si usted está en red o posee una conexión de Internet de tiempo integral, como DSL o Cable módem, debe desconectar la computadora de la red y de Internet. Desactive o proteja con una seña los archivos compartidos en red o configure dichos archivos como Solamente Lectura, antes de reconectar las computadoras a la red o a Internet. Como este worm se disemina usando carpetas compartidas de computadoras en red, para asegurarse de que el worm no reinfectará la computadora luego de haber sido removido, Symantec sugiere compartir dichos archivos con acceso Solamente Lectura o usando la protección de señas. Para obtener instrucciones sobre cómo realizar este proceso, consulte su documentación de Windows o el documento How to configure shared Windows folders for maximum network protection (Cómo configurar las carpetas compartidas en Windows para obtener la máxima protección en redes).
    Si usted está removiendo una infección en red, debe estar seguro de que todos los archivos compartidos en red estén desactivados o configurados como Solamente Lectura antes de seguir con el proceso.
  • Esta herramienta no fue creada para servidores de Novell NetWare. Para remover esta amenaza de un servidor de Novell NetWare, ejecute un análisis completo del sistema después de actualizar las definiciones de virus.

Qué hace la herramienta

La Herramienta de Remoción de W32. Bugbear@mm hace lo siguiente:
  1. Acaba con todos los procesos causados por el virus W32. Bugbear@mm
  2. Borra los archivos ejecutables de W32. Bugbear@mm y el Caballo de Troya que el worm instala ( detectado por el antivirus de Symantec como PWS.Hooker.Trojan
  3. Borra los valores que el worm agregó al registro.

NOTA: la herramienta remueve cualquier valor de la siguiente llave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

Normalmente, el sistema operacional borra cualquier valor de esta llave de registro ni bien los procesos han sido ejecutados, esto se realiza automáticamente. Pero, el worm puede volver a crear el valor que fue borrado por la herramienta, por eso, antes de ejecutarla, certifíquese de haber completado todas las instalaciones en funcionamiento y de haber reiniciado la computadora, si eso le fue solicitado.

Opciones en el renglón de comando disponibles para esa herramienta



Opción

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva el reparo del registro (no recomendamos usar esta opción).

/SILENT, /S

Activa el modo silencioso.

/LOG=<camino>

Crea un archivo de registro en el cual <camino> es el lugar para almacenar las salidas de la herramienta. Por patrón, será creado un archivo de registro Fxbgbear.log en la misma carpeta en la que la herramienta ha sido ejecutada.

/MAPPED

Verifica los discos de red relacionados entre sí ( mapped ) (el uso de esta opción no es recomendado -- vea nota).

/START

Le ordena a la herramienta iniciar la verificación inmediatamente.

/EXCLUDE=<carpeta>

Elimina, específicamente, la <carpeta> de la verificación (no recomendamos el uso de esta opción).

NOTA: El uso de la opción /MAPPED no garantiza la total remoción del virus en la computadora remota porque:
  • La verificación de los discos relacionados entre sí ( mapped ) se ejecuta sólo en las carpetas que fueron relacionadas ( mapped ). Esto puede no incluir todas las carpetas de la computadora remota causando fallas en la detección.
  • Si se detecta un archivo infectado en un disco relacionado con otros (mapped ), la remoción fallará si la computadora remota está usando ese mismo archivo.

Por estas razones, se debe ejecutar la herramienta en cada una de las computadoras.

Para obtener y ejecutar la herramienta

NOTA:
  • Usted debe tener privilegios de administrador para ejecutar esta herramienta en Windows NT4/2000/XP.
  • Han habido algunos comentarios, la mayoría relacionados con computadoras que trabajan con Windows 95/98/Me. En estas computadoras fue necesario ejecutar la herramienta en Modo de Seguridad. Si usted tiene problemas al usar esta herramienta, primero realice el download siguiendo las instrucciones de los pasos 1 y 2, luego reinicie la computadora en el Modo de Seguridad. Todos los sistemas operacionales Windows 32-bit, excepto el Windows NT, pueden ser reiniciados en el Modo de Seguridad. Para obtener instrucciones sobre cómo llevar a cabo este proceso, consulte el documento Cómo iniciar su equipo en Modo seguro.
  • Si usted está conectado en una red (una línea DSL o conexión por Cable también son tipos de red ) deberá desconectarse de la red como se ha explicado en el paso 5.
  1. Realice el download del archivo FxBgBear.exe de:

    http://securityresponse.symantec.com/avcenter/FxBgbear.exe
  2. Guarde el archivo en un lugar conveniente, como la carpeta de download, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su computadora.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.

    NOTA: Si está usando Windows ME/XP recomendamos, enfáticamente, no saltearse ese paso.
  7. Haga clic dos veces en el archivo FxBgbear.exe para darle inicio a la herramienta de remoción.
  8. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se autoejecute.
  9. Reinicie la computadora.
  10. Ejecute la herramienta de remoción una vez más para asegurarse de que el sistema esté limpio.
  11. Si está usando Windows ME o XP, reactive la Restauración del Sistema.
  12. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.

    NOTA: El procedimiento de remoción puede no funcionar si la Restauración del Sistema de Windows ME/XP no está desactivada como indicamos anteriormente porque Windows impide que se hagan alteraciones en la Restauración del Sistema desde programas externos. Por ese motivo, la herramienta de remoción puede fallar.
Cuando la herramienta finalice la ejecución, usted podrá ver un mensaje que le informará si la computadora estaba infectada por el W32.Bugbear@mm. En el caso que se haya producido la remoción del worm, el programa muestra los siguientes resultados:
    • El número total de archivos verificados
    • El número de archivos borrados
    • El número de procesos causados por virus eliminados
    • El número de entradas de registro borradas

La firma digital
El FxBgbear.exe está firmado digitalmente. Symantec le recomienda usar sólo copias del FxBgbear.exe que hayan sido obtenidas directamente del site de download de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga los siguientes pasos:
  1. Vaya a http://www.wmsoftware.com/free.htm
  2. Realice el download y guarde el archivo Chktrust.exe en la misma carpeta en la que guardó el FxBgbear.exe (por ejemplo, C:\Downloads).
  3. Dependiendo de su sistema operacional, siga los siguientes pasos:
    • Haga clic en Inicio, seleccione Programas y haga clic en Prompt de MS-DOS.
    • Haga clic en Inicio, seleccione Programas, haga clic en Accesorios y luego haga clic en Prompt de MS-DOS.
  4. Vaya hacia el directorio en el cual guardó el FxBgbear.exe y Chktrust.exe y digite:

    chktrust -i FxBgbear.exe

    Por ejemplo, si usted guardó el archivo en la carpeta C:\Downloads, debe digitar los siguientes comandos (presione Enter después de digitar cada comando):

    cd\
    cd downloads
    chktrust -i FxBgbear.exe


    Si la firma digital fuera válida, usted verá el siguiente texto:

    Do you want to install and run " W32.Bugbear@mm Fix Tool " signed on 10/03/2002 7:17 PM and distributed by Symantec Corporation?
    (¿Usted desea instalar y ejecutar la "Herramienta de Corrección W32.Bugbear@mm" firma el 03/10/2002 19:17 y distribuida por Symantec Corporation?)

    NOTAS:
    • Si su computadora no estuviera configurada para la hora del Pacífico, la fecha y la hora que aparecen en el cuadro de diálogo serán ajustadas a su huso horario.
    • Si estuviera en Horario de Verano marcará exactamente una hora menos.
    • Si ese cuadro de diálogo no aparece, existen dos posibles razones:
      • Esa herramienta no es de Symantec. A menos que esté completamente seguro de que la herramienta es legítima y que realmente ha sido obtenida a través del site de Symantec, no debe ejecutarla.
      • La herramienta es de Symantec y es legítima. Pero, su sistema operacional ha sido previamente configurado para confiar siempre en los productos de Symantec. Para obtener más informaciones sobre este tema y sobre cómo ver nuevamente el cuadro de confirmación, lea el documento How to restore the Publisher Authenticity confirmation dialog box.
  5. Haga clic en Yes (Si) para cerrar el cuadro de diálogo.
  6. Digite exit y presione Enter. Eso cerrará la sesión MS-DOS.

Opción Restauración del Sistema en Windows Me o XP
Los usuarios de Windows Me y de Windows XP deben desactivar, temporalmente, la Restauración del Sistema. Esta característica, activada por patrón, es utilizada por Windows ME/XP para restaurar los archivos de su computadora en el caso que hayan sido dañados. Cuando una computadora está infectada por un virus, worm o Caballo de Troya es posible que esos archivos sean restaurados por la Restauración del Sistema. Por patrón, Windows impide que la Restauración del Sistema sea alterada por programas externos. De esta forma, es posible que usted, accidentalmente, restaure un archivo infectado o que verificadores on-line detecten una amenaza en ese lugar. Para obtener instrucciones sobre cómo desactivar la Restauración del Sistema, lea la documentación de Windows o uno de los siguientes artículos:
Para obtener informaciones adicionales y alternativas para desactivar la Restauración del Sistema, vea en Microsoft Knowledge Base el artículo Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID del Artículo: Q263455. (Este recurso encontra-se em inglês.)

Cómo ejecutar la herramienta desde un disquete
  1. Inserte en el drive el disquete que contiene el archivo FxBgbear.exe
  2. Haga clic en el botón Inicio y luego en Ejecutar.
  3. Digite lo que está escrito a continuación y haga clic en OK:

    a:\fxbgbear.exe

    NOTAS:
    • No hay espacios en el comando a:\fxbgbear.exe
    • Si usted está usando Windows ME y la Restauración del Sistema está activada, aparecerá un mensaje de alerta. Elija si prefiere ejecutar la herramienta de remoción con la opción Restauración del Sistema activada o salir de la herramienta de remoción.
  4. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se autoejecute.
  5. Si está usando Windows Me, reactive la Restauración del Sistema.

El mensaje de e-mail puede ser compuesto con o sin el uso de la vulnerabilidad "Encabezamiento MIME Incorrecto Puede Hacer el IE Ejecutar el Anexo de E-mail" para autoejecutarse en un sistema vulnerable. Por favor, vaya a http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp para obtener informaciones adicionales.

Para desconectarse de la red:
Si usted está en red o posee una conexión de Internet de tiempo integral, como DSL o Cable módem, debe desconectar la computadora de la red y de Internet. Desactive o proteja con una seña los archivos compartidos en red o configure dichos archivos como Solamente Lectura, antes de reconectar las computadoras a la red o a Internet. Como este worm se disemina usando carpetas compartidas de computadoras en red, para asegurarse de que el worm no reinfectará la computadora luego de haber sido removido, Symantec sugiere compartir dichos archivos con acceso Solamente Lectura o usando la protección de señas. Para obtener instrucciones sobre cómo realizar este proceso, consulte su documentación de Windows o el documento How to configure shared Windows folders for maximum network protection. (Este recurso se encuentra en inglés.)

IMPORTANTE: No debe saltearse este paso. Usted debe desconectarse de la red antes de intentar remover este worm.

Resumen