Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Herramienta para remover el W32/Nimda.E
 
VSantivirus No. 480 - Año 6 - Miércoles 31 de octubre 2001

Herramienta para remover el W32/Nimda.E
Por Jose Luis Lopez

La versión Nimda.E requiere una herramienta específica para remover el virus de un sistema infectado (si no se desea aplicar la técnica de desinfección manual, explicada en la descripción de este virus).

La utilidad creada por Symantec, provee una solución relativamente pequeña (449 Kb), fácil de usar, y sobre todo bastante efectiva.

Sin embargo, debido a la naturaleza del Nimda, pueden existir dificultades para proceder a su desinfección en un sistema en un entorno de red o de servidor.

Refiérase para ello a nuestro artículo "Nimda. Un estudio a fondo de las técnicas de desinfección" (VSantivirus No. 449) http://www.vsantivirus.com/nimda-desinf.htm

La herramienta de Symantec realiza las siguientes acciones:

1. Finaliza todos los procesos asociados con el virus en memoria.

2. Finaliza el proceso Explorer.exe (tomado en memoria por el gusano), y lo relanza, limpio.

3. Detecta todos los tipos de infección ocasionados por el Nimda.e. Repara aquellos archivos que pueden ser reparados. Borra los archivos .EML, .NWS, .DOC y .TXT que fueran detectados como infectados. Los archivos infectados con doble extensión, cuya verdadera extensión sea diferente a las mencionadas arriba, no son tocados, debiéndose borrar manualmente.

4. Repara las modificaciones hechas al archivo SYSTEM.INI (línea shell=explorer.exe, etc.)

5. Remueve la cuenta GUEST del grupo del administrador, y la deshabilita del grupo Guest.

6. Repara las múltiples infecciones a archivos HTML.

7. Restaura los niveles de seguridad a los discos y carpetas compartidas.

8. Elimina los valores del registro que han sido creados para prevenir que el explorador de Windows visualice archivos ocultos o las extensiones conocidas. Esto vuelve los valores a su estado por defecto. Para poder ver las extensiones verdaderas y los archivos ocultos, proceda así:
  • En Windows 95, vaya a Mi PC, Menú Ver, Opciones.
  • En Windows 98, vaya a Mi PC, Menú Ver, Opciones de carpetas.
  • En Windows Me, vaya a Mi PC, Menú Herramientas, Opciones de carpetas.

Luego, en la lengüeta "Ver" de esa opción, DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. También MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

Por último, tenga en cuenta que un sistema infectado por el Nimda, puede haber permitido que un usuario no autorizada pudiera acceder en forma remota a la computadora infectada, por lo que la integridad del sistema pudiera ser crítica, aún después de la desinfección con esta herramienta:

Además, deberá recuperar algunos archivos (cómo Riched20.dll) que pueden ser dañados por el virus.

Descargue el archivo FxNimdaE.com:

http://securityresponse.symantec.com/avcenter/FxNimdaE.com

Para ejecutar la herramienta, cierre todos los programas abiertos, incluido los antivirus, y ejecute el archivo FXNIMDAE.COM.

Si usted está conectado a una red, o posee una conexión tiempo completo a Internet, desconecte antes su computadora de la red. Desconecte incluso todos los cables de red o de módem conectados a su PC. Deshabilite la opción "Compartir archivos e impresoras" o habilite un password para ello. Ejecute luego FXNIMDAE.COM en cada máquina en forma independiente.

Es muy importante desactivar antes TODOS los antivirus que estén ejecutándose en segundo plano.

Si utiliza Windows Me, DEBE deshabilitar necesariamente la opción "Restaurar sistema" antes de ejecutar esta herramienta. Para ello siga estos pasos:

  1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
  2. Pinche en la lengüeta "Rendimiento"
  3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
  4. Seleccione la lengüeta "Solución de problemas"
  5. Marque la casilla "Deshabilitar Restaurar sistema"
  6. Pinche en el botón "Aplicar"
  7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
  8. Pinche en el botón "Cerrar" de Propiedades de Sistema
  9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Para volver a habilitarla, reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.

Luego de todo lo anterior, simplemente ejecute con un doble clic el archivo FXNIMDAE.COM.

Pinche en START y espere que culmine el proceso.

Si es necesario, descargue e instale los siguientes parches que son requeridos para evitar la infección de virus como el Nimda:

www.microsoft.com/technet/security/bulletin/ms00-078.asp 
www.microsoft.com/technet/security/bulletin/MS01-020.asp 
www.microsoft.com/technet/security/bulletin/MS01-044.asp

Cómo extraer RICHED20.DLL de los discos de instalación

Windows 98 y Windows Me, incluyen herramientas para recuperar los archivos borrados. Para esto, es necesario tener a mano el CD de Windows 98 o Me, o los archivos de instalación (los .CAB) copiados en su disco duro. Luego siga estos pasos:

* Windows 98

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba: 

RICHED20.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

* Windows Me

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba:

RICHED20.DLL

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\SYSTEM" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

Todos los antivirus conocidos reconocen actualmente este virus.

Referencias:

VSantivirus No. 480 - 31/oct/01
Los puntos sobre los Nimdas
http://www.vsantivirus.com/31-10-01.htm

VSantivirus No. 480 - 31/oct/01
Herramienta para remover el W32/Nimda.E
http://www.vsantivirus.com/kit-nimda-e.htm

VSantivirus No. 438 - 19/set/01
A fondo: NIMDA, el gusano que pone en peligro a Internet
http://www.vsantivirus.com/nimda-a.htm

VSantivirus No. 440 - 21/set/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm

VSantivirus No. 456 - 7/oct/01
W32/Nimda.B. Una variante compactada del peligroso gusano
http://www.vsantivirus.com/nimda-b.htm

VSantivirus No. 462 - 13/oct/01
W32/Nimda.C. Nueva variante comprimida del virus
http://www.vsantivirus.com/nimda-c.htm

VSantivirus No. 479 - 30/oct/01
Virus: W32/Nimda.D (Para algunos antivirus es el Nimda.E)
http://www.vsantivirus.com/nimda-d.htm

VSantivirus No. 480 - 31/oct/01
Virus: W32/Nimda.E. Versión recompilada y sin errores
http://www.vsantivirus.com/nimda-e.htm

VSantivirus No. 440 - 21/oct/01
Herramienta para remover el W32/Nimda.A
http://www.vsantivirus.com/kit-nimda.htm

VSantivirus No. 449 - 30/set/01
Nimda. Un estudio a fondo de las técnicas de desinfección
http://www.vsantivirus.com/nimda-desinf.htm

VSantivirus No. 465 - 16/oct/01
Dos nuevas variantes del Nimda reportadas en Corea
http://www.vsantivirus.com/16-10-01b.htm

VSantivirus No. 462 - 13/oct/01
Extraños comportamientos del Nimda
http://www.vsantivirus.com/13-10-01b.htm

VSantivirus No. 451 - 2/oct/01
No acepte herramientas que dicen limpiar el Nimda
http://www.vsantivirus.com/02-10-01b.htm

VSantivirus No. 447 - 28/set/01
Nimda vuelve al ataque. La pesadilla de los 10 días
http://www.vsantivirus.com/28-09-01.htm

VSantivirus No. 441 - 22/set/01
Troj/Shake. Se distribuye como una copia del NimDA
http://www.vsantivirus.com/shake.htm

VSantivirus No. 439 - 20/set/01
Virus como el Nimda ponen a prueba el futuro de Internet
http://www.vsantivirus.com/20-09-01.htm

Alerta: Gusano de gran propagación (W32/Nimda)
http://www.vsantivirus.com/alerta-minda.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS