1. /
  2. Security Response/
  3. W32.Blackmal.B@mm Removal Tool
  4. W32.Blackmal.B@mm Removal Tool

W32.Blackmal.B@mm Removal Tool

Detectado:
7 de Abril de 2004
Actualizado:
13 de Febrero de 2007 11:35:21 AM
Tipo:
Removal Information

Symantec Security Response ha desarrollado una herramienta para eliminar las infecciones causadas por:

W32.Blackmal.B@mm.

Nota: Esta herramienta debe de ejecutarse dentro de los siguientes 1.5 minutos de haberse ejecutado el gusano. De lo contrario el gusano bloqueará el teclado y el ratón (mouse). Si no ejecuta la herramienta dentro de este tiempo, deberá reiniciar el equipo y ejecutar la herramienta inmediatamente. Esta situación se presenta en equipos que no se encuentran en un ambiente de red. Aún no se ha implementado la distribución de la herramienta en un entorno de red.


Utilidad de la herramienta

La herramienta de eliminación realiza lo siguiente:
  1. Finaliza los procesos virales de W32.Blackmal.B@mm
  2. Elimina los archivos de W32.Blackmal.B@mm
  3. Elimina los valores de Registro añadidos por el gusano.

Parámetros de línea de comandos disponibles para esta herramienta



Opción

Descripción

/HELP, /H, /?

Muestra el mensaje de ayuda.

/NOFIXREG

Desactiva la reparación del registro (no se recomienda el uso de este parámetro).

/SILENT, /S

Activa el modo silencioso.

/LOG=<nombre de ruta>

Crea un archivo de registro en el que <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. De forma predeterminada, este parámetro genera el archivo de registro FxBkmalB.log, en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED

Analiza las unidades compartidas en busca de virus (No recomendamos el uso de este parámetro). Consulte la nota abajo).

/START

Obliga a la herramienta a iniciar inmediatamente el análisis.

/EXCLUDE=<ruta>

Excluye la <ruta> especificada para el análisis (No recomendamos el uso de este parámetro). Consulte la nota abajo).

/NOFILESCAN

Evita que los archivos de sistema sean analizados.



Nota: el uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
  • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, con lo que se producirían omisiones en la detección.
  • Si se encuentra un archivo infectado en la unidad asignada, el archivo no se puede eliminar si está siendo utilizado por otro programa.

Por lo tanto, se debe ejecutar la herramienta de forma local en todos los equipos.

El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con su antivirus actualizado con las definiciones de virus más recientes. Con estos pasos deberá haber limpiado los archivos del sistema.

A continuación se presenta un ejemplo con el parámetro "exclude" para trabajar en una unidad de disco sencilla:

>"C:\Documents and Settings\user1\Desktop\FxBkmalB.exe " /EXCLUDE=M:\ /LOG=c:\FxBkmalB.txt

En forma alterna la línea que a continuación se muestra omitirá el análisis de los archivos de sistema, pero reparará las modificaciones del registro. Después deberá hacer una búsqueda de virus en el sistema con las exclusiones correspondientes:

>"C:\Documents and Settings\user1\Desktop\FxBkmalB.exe" /NOFILESCAN /LOG=c:\FxBkmalB.txt

Notas:
  • En donde el símbolo mayor que (>) no es parte de la ruta.
  • El nombre del archivo de registro .log puede ser cualquier otro que usted elija. El nombre en el ejemplo anterior, fue asignado sólo para explicar la sintaxis con los parámetros.

Para obtener y ejecutar la herramienta

Nota: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

ADVERTENCIA: Para administradores de red. Si cuenta con un servidor MS Exchange 2000, se recomienda excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Si desea obtener más información, lea el artículo de la base de información de Microsoft, XADM: Do Not Back Up or Scan Exchange 2000 Drive M (Article 298924).

  1. Descargue el archivo FxBkmalB.exe desde: http://securityresponse.symantec.com/avcenter/FxBkmalB.exe.
  2. Guarde el archivo en una ubicación adecuada, por ejemplo, su carpeta de descargas o el escritorio de Windows o en un medio extraíble que se sepa que no esté infectado.
  3. Para comprobar la autenticidad de la firma digital, consulte la sección "La firma digital" de este documento.
  4. Cierre todos los programas activos antes de ejecutar la herramienta.
  5. Si está trabajando en red o dispone de una conexión permanente a Internet, desconecte el equipo de la red, así como la conexión a Internet.
  6. Si está utilizando Windows ME o XP, desactive Restaurar sistema. Para más detalles, lea la sección "Opción Restaurar sistema de Windows ME/XP" de este documento.

    Precaución: Recomendamos insistentemente que no omita este paso si ejecuta Windows Me/XP.
  7. Haga doble clic en el archivo FxBkmalB.exe para iniciar la herramienta de eliminación.
  8. Haga clic en Start para que se inicie el proceso y deje que se ejecute la herramienta.
  9. Reinicie el equipo.
  10. Ejecute otra vez la herramienta de eliminación para asegurarse de que el sistema quede limpio.
  11. Si está utilizando Windows Me/XP, tendrá que volver a activar Restaurar sistema.
  12. Ejecute LiveUpdate para confirmar que dispone de las definiciones de virus más recientes.


Nota: El procedimiento de eliminación podría no funcionar si no se desactiva la opción Restaurar sistema de Windows Me/XP como se especificó anteriormente, porque Windows impide que otros programas modifiquen la opción Restaurar sistema.


Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo estaba infectado por W32.Blackmal.B@mm. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos verificados
  • El número de archivos eliminados
  • El número de archivos reparados
  • El número de procesos víricos terminados
  • El número de entradas de registro reparadas


La firma digital
FxBkmalB.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FxBkmalB.exe, descargadas directamente del sitio Web de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm. (Este recurso se encuentra en inglés.)
  2. Descargue y guarde el archivo chktrust.exe en la carpeta en la que guardó FxBkmalB.exe (por ejemplo, C:\Descargas).
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.

  4. Cambie a la carpeta donde almacenó los archivos FxBkmalB.exe y Chktrust.exe y escriba: chktrust -i FxBkmalB.exe.

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i
    FxBkmalB.exe

    Presione INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    "Do you want to install and run "FxBkmalB.exe" signed on 04/07/2004 1:25 PM and distributed by: Symantec Corporation"

    Nota
    • La fecha y la hora de este cuadro de diálogo se ajustarán a su zona horaria cuando su equipo no esté configurado a la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la ha descargado desde el verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre el tema y ver nuevamente el cuadro de diálogo de confirmación, consulte el documento "Cómo restaurar el cuadro de diálogo de confirmación de la autenticidad del editor".

  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba exit y presione INTRO. Esto cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows ME y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra activada de forma predeterminada, la emplean Windows ME/XP para restaurar los archivos de los equipos cuando estos sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema.

De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Por lo tanto, los programas o herramientas contra virus no pueden eliminar las amenazas que se encuentren en la carpeta Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación.

También, un explorador de virus puede detectar una amenaza en la carpeta Restaurar el sistema aunque haya eliminado esa amenaza.

Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:
Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, consulte el artículo "Las herramientas antivirus no pueden limpiar los archivos infectados de la carpeta _Restore" de la Base de conocimientos de Microsoft, el ID es: Q263455.


Resumen