Cmo eliminar el virus Beagle/Bagle?

Junio 2014
El malware Bagle es en realidad un gusano informtico que se propaga principalmente en los
programas P2P y a travs de cracks falsos (programas piratas!), al igual que por email.
El internauta creyendo que est descargando un crack para un programa, cuando hace una
bsqueda con un programa P2P, instala el mismo al gusano en su PC ya que el archivo .exe
contenido en el archivo es en realidad el gusano Bagle! Los nombres de los programas
crackeados son diversos y comprenden una gama bastante amplia de tipos de programas. Este
gusano es por lo general muy difcil de eliminar!
Sntomas debidos a la infeccin
Mtodo de desinfeccin
Reparar el acceso al modo seguro
1er Mtodo: ELIBAGLA
2do Mtodo: Gmer
3er Mtodo: Combofix
4to Mtodo: Malwarebyte's
Trucos Prcticos!
Renombrar ELIBAGLA
En Linea de comando

Sntomas debidos a la infeccin

Cuando ste es ejecutado, el gusano muestra una ventana que te pedir que selecciones un
archivo para ser crackeado. En realidad es un seuelo ya que no crakear nada!

Mensaje que se obtiene despus de la bsqueda:

Lo primero que hace es infectar un archivo sano en el arranque, despus de una lectura del
registro, elimina la clave safeboot que permite el inicio en modo seguro, tambin neutraliza el
funcionamiento del antivirus y el cortafuegos, e impide que se reinstalen. Te dars cuenta
rpidamente que una gran parte de los programas de seguridad no podrn ejecutarse y
aparecer un mensaje de error: "aplicacin win32 no vlida..." Atencin Por ningn motivo
intentes reiniciar en modo seguro a travs del comando msconfig so pena de ver a Windows
reiniciado indefinidamente en bucle!

Mtodo de desinfeccin
Existes varias soluciones a nuestra disposicin

Reparar el acceso al modo seguro

Puedes comenzar reparando el acceso al modo seguro, para ello debes descargar:
la aplicacin siguiente:
http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
o el archivo *.reg de acuerdo a la versin de Windows:
http://www.forospyware.es/topico-170-reparar-modo-seguro.html

1er Mtodo: ELIBAGLA

Descarga ELIBAGLA (by SATINFO) de la parte de abajo de esta pgina:
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Haz clic en el botn Descargar Elibagla y ponlo en tu escritorio.
Haz doble clic encima para abrirlo
Verifica que en el men desplegable Unidad, se encuentra C:\ (o la particin que contiene
el sistema operativo)
Verifica tambin que la opcin Eliminar Ficheros Automaticamente, en la parte baja de
la ventana, est marcada.
Haz clic en el botn Explorar para lanzar el anlisis, al final del scan, se generar un
informe llamado infosat.txt que ser guardado en la raz C:\infosat.txt

Ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008

EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------Lista de Acciones (por Accin Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.
Thu Feb 28 21:49:48 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------Lista de Acciones (por Exploracin):
Explorando Unidad C:\
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE -->Eliminado
Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para
completar la Limpieza)
N Total de Directorios: 7505
N Total de Ficheros: 82386
N de Ficheros Analizados: 12450
N de Ficheros Infectados: 3
N de Ficheros Limpiados: 3
Uso del informe:
la mencin: Eliminado Bagle significa que el componente del gusano ha sido
eliminado.
la mencin: Bagle Acceso Denegado siginifica que el acceso a este archivo ha sido
denegado, por lo tanto no ha sido eliminado
la mencin: Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)
significa que se necesita volver a pasar la aplicacin para completar la limpieza!
Elibagla es capaz de reparar la clave safeboot eliminada por Bagle, en ese caso, la
siguiente mencin aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y
Network"
Observacin: se debe pasar varias veces Elibagla en modo normal y en modo seguro si es
posible para poder eliminar la mayor cantidad de archivos infectados. En nuestro ejemplo,
Elibagla no ha eliminado de una sola vez la infeccin, vamos a ver en lo que sigue cmo otras
herramientas pueden ser utilizadas para completar la eliminacin del gusano Bagle.

2do Mtodo: Gmer

Descargar Gmer (by Przemyslaw Gmerek): http://www.gmer.net/gmer.zip

Descomprime el archivo y ponlo en el escritorio, haz doble clic en gmer.exe

IMOPORTANTE: si una alerta de antivirus aparece para el archivo gmer.sys o gmer.exe,
igual ejectalo!
Haz clic en la pestaa rootkit, asegrate de que las casillas: Services, Registry y Files
estn marcadas.
Haz clic en scan, una vez terminado, ve a:
Inicio
Ejecutar y escribe el comando cmd luego Aceptar
En la ventana negra que se abre, copia cada una de las lneas, previamente
imprimidas, una por una poniendo mucha atencin (sintaxis, espacio entre
palabras...), y valida cada una de las lneas con la tecla Enter.
En este caso, el script ha sido elaborado en funcin del informe de Elibagla
precedente:
gmer -killall
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"
gmer -del service SROSA
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"
gmer -reboot
Si al final del proceso, el PC no reinicia slo, haz un reset para forzar el reinicio.
Observacin: este mtodo supone que sabemos hacer scripts con gmer!

3er Mtodo: Combofix

Descargar Combofix (by Subs) desde esta pgina:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Gurdalo en el escritorio
Desconctate de Internet y cierra todas las aplicaciones y programas
Haz doble clic en combo-fix.exe
Presiona la tecla Y (Yes) para iniciar el scan
El informe ser creado en la raz: C:\Combofix.txt

Observacin: combo se encarga de eliminar archivos infectados ligados a bagle. Es

imprescindible que descargues combo desde el enlace dado lneas arriba (versin renombrada)
o renmbralo tu mismo combo (clic derecho en el archivo < renombrar), si no Combo ser
totalmente ineficaz frente a Bagle!

4to Mtodo: Malwarebyte's

Esta muy buena herramienta tiene la particularidad de detectar la totalidad de la infeccin Bagle,
sin embargo slo es eficaz si utilizas Eligagla antes para neutralizar el archivo infectado
identificado en 04 (hijackthis) o si esta 04 ya ha sido eliminada antes.

Descargar MalwareByte's Anti-Malware:

Instala el programa en el escritorio:
Si falta el archivo COMCTL32.OCX, puedes descargarlo de aqu
Haz las actualizaciones (haz clic en Actualizar luego Buscar actualizaciones)
Inicia en modo seguro
Ejecuta MalwareByte's Anti-Malware, haz clic en "Realizar un examen completo" luego
Examinar y selecciona todos los discos duros.
Una vez terminado el scan, haz clic en Eliminar (si un mensaje te pide reiniciar el PC,
acepta!)
Un informe ser generado, gurdalo en un lugar donde lo puedas encontrar

Trucos Prcticos!
Renombrar ELIBAGLA
Aqu un truco capaz de hacer a Elibagla ms eficaz frente a las variantes de Bagle!
Slo hay que renombrarlo con el mismo nombre de uno de los archivos que hacen parte
de la infeccin: aqu mdelk.exe y el rootkit ser incapaz de diferenciar el archivo de la
infeccin que lleva el mismo nombre y que le autoriza un campo de accin mucho ms
importante.
Elibagla renombrado de este modo ser capaz de neutralizar, en una sola pasada,
totalmente la infeccin. Luego slo hay que reiniciar el PC y hacer un segundo scan para
eliminar el resto de la infeccin.
Hay que tener en cuenta que este truco funciona nicamente si el exe de Elibagla es
renombrado correctamente mdelk.exe!

En Linea de comando
Este truco est destinado principalmente a los usuarios conocedores, as como a las
personas que ayudan en el foro virus/seguridad y que les ser muy til.
El falso crack que se copia en lugar de un archivo sano tiene la particularidad de utilizar un
protector de archivo: Themida.
Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y
camuflados por este protector de archivo, abre el prompt y escribe la lnea siguiente:
findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\escritorio\Startvir.txt"
El archivo Startvir.txt en el escritorio listar los archivos sospechosos encontrados,
slo tendrs que eliminar los archivos despus de haber interpretado los resultados.
Existen muchos otros mtodos para eliminar este gusano! Si tienes problemas para eliminar a
este gusano, el que agregado a otras infecciones puede ser muy difcil de desalojar, no dudes
en poner un mensaje en el foro virus/seguridad explicando brevemente las operaciones
efectuadas y los problemas que encontraste. http://www.commentcamarche.net/faq/9889comment-supprimer-le-virus-beagle-bagle
Este documento intitulado Cmo eliminar el virus Beagle/Bagle? de Kioskea (es.kioskea.net) esta puesto a
diposicin bajo la licencia Creative Commons. Puede copiar, modificar bajo las condiciones puestas por la licencia,
siempre que esta nota sea visible.