¿Cómo eliminar el virus Beagle/Bagle?

El malware Bagle es en realidad un gusano informático que se propaga principalmente en los programas P2P y a través de cracks falsos (programas piratas!), al igual que por email.
El internauta creyendo que está descargando un crack para un programa, cuando hace una búsqueda con un programa P2P, instala el mismo al gusano en su PC ya que el archivo .exe contenido en el archivo es en realidad el gusano Bagle!
Los nombres de los programas crackeados son diversos y comprenden una gama bastante amplia de tipos de programas. Este gusano es por lo general muy difícil de eliminar!

Síntomas debidos a la infección

Cuando éste es ejecutado, el gusano muestra una ventana que te pedirá que selecciones un archivo para ser crackeado. En realidad es un señuelo ya que no crakeará nada!



Mensaje que se obtiene después de la búsqueda:



Lo primero que hace es infectar un archivo sano en el arranque, después de una lectura del registro, elimina la clave safeboot que permite el inicio en modo seguro, también neutraliza el funcionamiento del antivirus y el cortafuegos, e impide que se reinstalen. Te darás cuenta rápidamente que una gran parte de los programas de seguridad no podrán ejecutarse y aparecerá un mensaje de error: “aplicación win32 no válida…”

Atención Por ningún motivo intentes reiniciar en modo seguro a través del comando msconfig so pena de ver a Windows reiniciado indefinidamente en bucle!

Método de desinfección

Existes varias soluciones a nuestra disposición

Reparar el acceso al modo seguro

Puedes comenzar reparando el acceso al modo seguro, para ello debes descargar:

• la aplicación siguiente: http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
• o el archivo *.reg de acuerdo a la versión de Windows:
  • http://www.forospyware.es/topico-170-reparar-modo-seguro.html

1er Método: ELIBAGLA

• Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta página: http://www.zonavirus.com/datos/descargas/95/elibagla.asp
• Haz clic en el botón Descargar Elibagla y ponlo en tu escritorio.
• Haz doble clic encima para abrirlo
• Verifica que en el menú desplegable Unidad, se encuentra C:\ (o la partición que contiene el sistema operativo)
• Verifica también que la opción Eliminar Ficheros Automaticamente, en la parte baja de la ventana, esté marcada.
• Haz clic en el botón Explorar para lanzar el análisis, al final del scan, se generará un informe llamado infosat.txt que será guardado en la raíz C:\infosat.txt

Ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Acción Directa): 
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. 
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle 
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. 
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. 
Restaurada Clave: "SafeBoot\Minimal y Network" 
Reinicie para Completar la Limpieza. 
 
Thu Feb 28 21:49:48 2008 
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L. 
---------------------------------------------- 
Lista de Acciones (por Exploración): 
Explorando Unidad C:\ 
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE -->Eliminado
Bagle.dldr 
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza) 
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza) 
 
Nº Total de Directorios:   7505 
Nº Total de Ficheros:      82386 
Nº de Ficheros Analizados: 12450 
Nº de Ficheros Infectados: 3 
Nº de Ficheros Limpiados:  3 

• Uso del informe:
  • la mención: Eliminado Bagle significa que el componente del gusano ha sido eliminado.
  • la mención: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado
  • la mención: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza!
  • Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y Network"

Observación: se debe pasar varias veces Elibagla en modo normal y en modo seguro si es posible para poder eliminar la mayor cantidad de archivos infectados.

En nuestro ejemplo, Elibagla no ha eliminado de una sola vez la infección, vamos a ver en lo que sigue cómo otras herramientas pueden ser utilizadas para completar la eliminación del gusano Bagle.

2do Método: Gmer

• Descargar Gmer (by Przemyslaw Gmerek): http://www.gmer.net/gmer.zip

• Descomprime el archivo y ponlo en el escritorio, haz doble clic en gmer.exe
• IMOPORTANTE: si una alerta de antivirus aparece para el archivo gmer.sys o gmer.exe, igual ejecútalo!
• Haz clic en la pestaña rootkit, asegúrate de que las casillas: Services, Registry y Files estén marcadas.
• Haz clic en scan, una vez terminado, ve a:
  • Inicio
  • Ejecutar y escribe el comando cmd luego Aceptar
  • En la ventana negra que se abre, copia cada una de las líneas, previamente imprimidas, una por una poniendo mucha atención (sintaxis, espacio entre palabras…), y valida cada una de las líneas con la tecla Enter.
  • En este caso, el script ha sido elaborado en función del informe de Elibagla precedente:

gmer -killall 
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA" 
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA" 
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA" 
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS" 
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE" 
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT" 
gmer -del file "C:\WINDOWS\system32\MDELK.EXE" 
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE" 
gmer –reboot

• Si al final del proceso, el PC no reinicia sólo, haz un reset para forzar el reinicio.

Observación: este método supone que sabemos hacer scripts con gmer!

3er Método: Combofix

• Descargar Combofix (by Subs) desde esta página:
• http://download.bleepingcomputer.com/sUBs/ComboFix.exe
• Guárdalo en el escritorio
• Desconéctate de Internet y cierra todas las aplicaciones y programas
• Haz doble clic en combo-fix.exe
• Presiona la tecla Y (Yes) para iniciar el scan
• El informe será creado en la raíz: C:\Combofix.txt

Observación: combo se encarga de eliminar archivos infectados ligados a bagle. Es imprescindible que descargues combo desde el enlace dado líneas arriba (versión renombrada) o renómbralo tu mismo combo (clic derecho en el archivo < renombrar), si no Combo será totalmente ineficaz frente a Bagle!

4to Método: Malwarebyte's

Esta muy buena herramienta tiene la particularidad de detectar la totalidad de la infección Bagle, sin embargo sólo es eficaz si utilizas Eligagla antes para neutralizar el archivo infectado identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.

• Descargar MalwareByte's Anti-Malware:
• Instala el programa en el escritorio:
  • Si falta el archivo COMCTL32.OCX, puedes descargarlo de aquí
• Haz las actualizaciones (haz clic en Actualizar luego Buscar actualizaciones)
• Inicia en modo seguro
• Ejecuta MalwareByte's Anti-Malware, haz clic en “Realizar un examen completo” luego Examinar y selecciona todos los discos duros.
• Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC, acepta!)
• Un informe será generado, guárdalo en un lugar donde lo puedas encontrar

Trucos Prácticos!

Renombrar ELIBAGLA

• Aquí un truco capaz de hacer a Elibagla más eficaz frente a las variantes de Bagle!
• Sólo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte de la infección: aquí mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
• Elibagla renombrado de este modo será capaz de neutralizar, en una sola pasada, totalmente la infección. Luego sólo hay que reiniciar el PC y hacer un segundo scan para eliminar el resto de la infección.
• Hay que tener en cuenta que este truco funciona únicamente si el exe de Elibagla es renombrado correctamente mdelk.exe!

En Linea de comando

• Este truco está destinado principalmente a los usuarios conocedores, así como a las personas que ayudan en el foro virus/seguridad y que les será muy útil.
• El falso crack que se copia en lugar de un archivo sano tiene la particularidad de utilizar un protector de archivo: Themida.
• Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y camuflados por este protector de archivo, abre el prompt y escribe la línea siguiente:
  • findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\escritorio\Startvir.txt"
  • El archivo Startvir.txt en el escritorio listará los archivos sospechosos encontrados, sólo tendrás que eliminar los archivos después de haber interpretado los resultados.

Existen muchos otros métodos para eliminar este gusano!

Si tienes problemas para eliminar a este gusano, el que agregado a otras infecciones puede ser muy difícil de desalojar, no dudes en poner un mensaje en el foro virus/seguridad explicando brevemente las operaciones efectuadas y los problemas que encontraste.

PD: El artículo original fue escrito por green day contribuidor de CommentCaMarche