Paso 1 Remueve el Sasser
Paso 2 Descarga el parche de seguridad Wxp EspañolParche XP
Paso 2 Descarga el parche de seguridad W2000Parche W2000
Symantec español
sitios mundiales
productos
compras en Symantec
servicio y soporte
security response
downloads
acerca de Symantec
búsqueda
comentarios


© 1995-2004 Symantec Corporation.
Todos los derechos reservados.
Nota Legal
Política de Privacidad


 security response

Herramienta de eliminación de W32.Sasser

Descubierto el: May 1, 2004
Actualizado por última vez el: May 4, 2004 07:52:23 AM

Symantec Security Response ha desarrollado una herramienta que permite eliminar infecciones causadas por las variantes de W32.Sasser:

La familia de gusanos W32.Sasser puede ejecutar el gusano en equipos con Windows 95/98/Me, pero no los infecta. Aunque los equipos con estos sistemas operativosno se infectan, si pueden ser utilizados para infectar equipos vulnerables a los que se puedan conectar. En este caso, el gusano tomará demasiados recursos del equipo, por lo que los programas no se podrá ejecutar de manera apropiada, incluyendo la herramienta de eliminación. En equipos con Windows 95/98/Me la herramienta deberá ejecutarse en modo a prueba de fallos.

Nota: En muchos casos, al ejecutarse LSASS.EXE provoca que se bloqueo del sistema. Como consecuencia el sistema puede terminar por reiniciarse. La herramienta puede ejecutarse de manera exitosa después de reiniciar el equipo completamente.


Utilidad de la herramienta

La herramienta de eliminación de W32.Sasser realiza las siguientes tareas:
  1. Termina todos los procesos virales de W32.Sasser.
  2. Elimina los archivos de W32.Sasser.
  3. Elimina los valores agregados en el registro por el gusano

Parámetros de línea de comandos disponibles para la herramienta



Parámetros
Descripción

/HELP, /H, /?
Muestra el mensaje de ayuda.

/NOFIXREG
Desactiva la reparación del registro (el uso de este parámetro no es recomendable).

/SILENT, /S
Activa el modo silencioso.

/LOG=<path name>
Crea un archivo de registro; <nombre de ruta> es la ubicación en que se almacenan los resultados de la herramienta. de forma predeterminada, este parámetro genera el archivo de registro FxSasser.log en la misma carpeta desde la que se ejecute la herramienta de eliminación.

/MAPPED
Analiza las unidades de red asignadas (el uso de este parámetro no es recomendable; consulte las notas).

/START
Obliga a la herramienta a iniciar el análisis inmediatamente.

/EXCLUDE=<path>
Excluye del análisis la <ruta> especificada (el uso de este parámetro no es recomendable).

/NOFILESCAN
Evita el análisis de los archivos de sistema.

Nota: el uso del parámetro /MAPPED no garantiza la eliminación total del virus en el equipo remoto por los siguientes motivos:
  • El análisis de unidades asignadas sólo abarca las carpetas que estén asignadas. Podrían quedar excluidas algunas carpetas del equipo remoto, por lo que se producirían omisiones en la detección.
  • Si se hallara un archivo infectado en la unidad asignada, no se podría llevar a cabo la eliminación de dicho archivo si otro programa lo estuviese usando.

Por estos motivos, se debe ejecutar la herramienta de forma local en todos los equipos.

El parámetro /EXCLUDE sólo funciona para una ruta, no para varias. Una alternativa es el uso del parámetro /NOFILESCAN y hacer una búsqueda manual en forma inmediata con AntiVirus. Esto permitirá a la herramienta alterar el registro. Después haga una búsqueda de virus con las definiciones de virus actualizadas. Con estos pasos deberá haber eliminado del sistema a la amenaza.

A continuación está un ejemplo con el parámetro exclude para trabajar en una unidad de disco sencilla:

>"C:\Documents and Settings\user1\Desktop\FxNeskyB.exe" /EXCLUDE=M:\ /LOG=c:\FxSasser.txt

En forma alterna la línea que a continuación se muestra omitirá el análisis de los archivos de sistema, pero reparará las modificaciones del registro. Después deberá hacer una búsqueda de virus en el sistema con las exclusiones correspondientes:

>"C:\Documents and Settings\user1\Desktop\FxNeskyB.exe" /NOSCANFILE /LOG=c:\FxSasser.txt

Notas:
  • El símbolo mayor que (>) no es parte de la ruta.
  • El nombre del archivo .log cualquier otro que usted elija. El nombre en el ejemplo anterior, es sólo explicar la sintaxis con los parámetros.

Para obtener y ejecutar la herramienta
Nota: Es preciso disponer de derechos administrativos para ejecutar esta herramienta en Windows NT 4.0, Windows 2000 o Windows XP.

ADVERTENCIA: Si usted está ejecutando MS Exchange 2000 Server, puede desear excluir la unidad M del análisis de la herramienta, usando el parámetro de exclusión. Sin importar si usted toma esta opción, antes de ejecutar la herramienta respalde todos los datos de la unidad M. Para mayor información, sobre la importancia de esta última acción lea el documento de la base de conocimientos de Microsoft, "XADM: Do Not Back Up or Scan Exchange 2000 Drive M" (Article 298924).
  1. Realice la descarga del archivo FxSasser.exe de: http://securityresponse.symantec.com/avcenter/FxSasser.exe.

    Nota: La versión 1.0.1 (Como se muestra en la barra de título el diálogo de la herramienta) provee soporte para eliminar W32.Sasser.B.Worm y W32.Sasser.Worm.

  2. Guarde el archivo en un lugar conveniente, como la carpeta de descargas, el área de trabajo de Windows o en un disquete que no esté infectado, si es posible.
  3. Para verificar la autenticidad de la firma digital, vea la sección La firma digital.
  4. Cierre todos los programas antes de ejecutar la herramienta.
  5. Si usted está en red o tiene una conexión permanente a Internet, desconecte su computadora.
  6. Si está usando Windows ME o XP, desactive la Restauración del Sistema. Para obtener más detalles, vea la sección Opción Restauración del Sistema en Windows ME o XP.
    Nota: Si está usando Windows ME/XP recomendamos, enfáticamente, no omitir ese paso.
  7. Dependiendo de su sistema operativo siga una de las siguientes acciones:
  8. Haga clic dos veces en el archivo FxSasser.exe para ejecutar la herramienta de eliminación.
  9. Haga clic en Start (Inicio) para comenzar el proceso y deje que la herramienta se ejecute.
  10. Reinicie la computadora.
  11. Ejecute la herramienta de eliminación una vez más para asegurarse de que el sistema esté limpio.
  12. Si está usando Windows ME o XP, reactive la Restauración del Sistema.
  13. Ejecute el LiveUpdate para asegurarse de tener las definiciones de virus más actualizadas.
    Nota: El procedimiento de remoción puede no funcionar si la Restauración del Sistema de Windows ME/XP no está desactivada como indicamos anteriormente porque Windows impide que se hagan alteraciones en la Restauración del Sistema desde programas externos. Por ese motivo, la herramienta de remoción puede fallar.
Cuando termine de ejecutarse la herramienta, se mostrará un mensaje indicando si el equipo está infectado por W32.Sasser. En caso de que se elimine el gusano, el programa mostrará los siguientes resultados:
  • El número total de archivos analizados.
  • El número de archivos eliminados.
  • El número de procesos víricos terminados.
  • El número de entradas de registro reparadas.


La firma digital
FxSasser.exe está firmado digitalmente. Symantec recomienda utilizar únicamente copias de FxSasser.exe descargadas directamente del sitio de descargas de Symantec Security Response. Para comprobar la autenticidad de la firma digital, siga estos pasos:
  1. Acceda a http://www.wmsoftware.com/free.htm.
  2. Descargue y guarde el archivo chktrust.exe en la misma carpeta en la que guardó FxSasser.exe por ejemplo, C:\Descargas.
  3. Según el sistema operativo que ejecute, realice una de las siguientes acciones:
    • Haga clic en Inicio, coloque el puntero sobre Programas y haga clic en MS-DOS.
    • Haga clic en Inicio, coloque el puntero sobre Programas, haga clic en Accesorios y seleccione MS-DOS.

  4. Cambie a la carpeta donde almacenó los archivos FxSasser.exe y Chktrust.exe y, entonces, escriba:

    chktrust -i FxSasser.exe

    Por ejemplo, si guardó el archivo en la carpeta C:\Descargas, escriba los siguientes comandos:

    cd\
    cd descargas
    chktrust -i     FxSasser.exe

    Presione la tecla INTRO después de cada comando. Si la firma digital es válida, aparecerá lo siguiente:

    Se pide su aprobación para instalar y ejecutar "W32.Sasser Removal Tool" firmada el 05/01/2004 a las 10:248 PM y distribuida por Symantec Corporation.
    Notas:
    • La fecha y la hora que aparecen en este cuadro de diálogo se adaptarán a su zona horaria, siempre que el equipo no esté configurado según la zona horaria del Pacífico.
    • Si está utilizando el horario de verano, la hora que aparecerá será exactamente una hora menos.
    • Si no se muestra este cuadro de diálogo, existen dos causas posibles:
      • La herramienta no pertenece a Symantec. No debe ejecutarla, a menos que esté seguro de que la herramienta es legítima y que la haya descargado del verdadero sitio Web de Symantec.
      • La herramienta sí pertenece a Symantec y es legítima. Sin embargo, el sistema operativo ha sido configurado con anterioridad para que confíe siempre en el contenido de Symantec. Si desea obtener información sobre cómo hacerlo y ver de nuevo el cuadro de diálogo de confirmación, consulte el documento "How to restore the Publisher Authenticity confirmation dialog box." (este recurso se encuentre en idioma inglés).
  5. Haga clic en Sí para cerrar el cuadro de diálogo.
  6. Escriba Exit y presione INTRO. De este modo, se cerrará la sesión de MS-DOS.

La función Restaurar sistema de Windows ME/XP
Los usuarios de Windows Me y Windows XP deben desactivar temporalmente la función Restaurar sistema. Esta función, que se encuentra habilitada de forma predeterminada, la emplea Windows ME/XP para restaurar los archivos de los equipos cuando sufren algún daño. Cuando un virus, gusano o caballo de Troya infecta un equipo, es posible que dicho virus, gusano o caballo de Troya se haya guardado en la copia de seguridad efectuada por Restaurar sistema. De forma predeterminada, Windows no permite que los programas externos modifiquen la función Restaurar sistema. Como resultado, existe la posibilidad de que se restaure involuntariamente un archivo infectado, o bien que una exploración en línea detecte la amenaza en dicha ubicación. Si desea obtener instrucciones sobre cómo desactivar Restaurar sistema, consulte la documentación de Windows o uno de los siguientes artículos:

Si desea obtener más información y un método alternativo para desactivar la función Restaurar sistema, lea el artículo "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder (Q263455). de la base de conocimientos de Microsoft.

Historial de revisiones:

  • 3 de mayo del 2004: Se actualizó la versión de la herramienta ( versión 1.0.3 ) para eliminar infecciones causadas por W32.Sasser.D.Worm.
  • 2 de mayo del 2004: Se actualizó la versión de la herramienta ( versión 1.0.2 ) para eliminar infecciones causadas por W32.Sasser.C.Worm.
  • 2 de mayo del 2004: Se actualizó la versión de la herramienta ( versión 1.0.1 ) para eliminar infecciones causadas por W32.Sasser.B.Worm.