Sophos Anti-Virus para Windows: limpieza de virus de archivos (Sality/Scribble/Virut/Vetor)
Problema
Los virus de archivos ejecutables (PE) son unos de los más peligrosos. Para provocar la infección, se copian en los archivos ejecutables de equipos o fuentes remotas.
No es fácil eliminarlos, pero puede seguir estos pasos para hacerlo.
Producto de Sophos y versión
Sophos Anti-Virus para Windows 2000/XP/2003/Vista/2008
Sophos Anti-Virus para Windows 95/98/ME
Sistema operativo
Windows
Información técnica
Como ya hemos explicado brevemente, los virus de archivos ejecutables (PE) añaden una copia de sí mismos a archivos ejecutables, como .exe y .scr, entre otros. Una vez que se infecta un equipo, el virus se puede propagar a otros muy rápidamente. Cuantos más equipos infectados, más difícil resulta eliminarlo.
Normalmente, se infecta primero un equipo que no está protegido. Al ejecutarse los archivos ejecutables, entran en la memoria, junto con el virus. El virus infectará también otros archivos ejecutables que encuentre.
Recuerde que los archivos ejecutables sin permiso de escritura no se pueden infectar.
En muchas redes de gran tamaño, ciertas aplicaciones se ejecutan directamente desde los servidores de archivos. Si un equipo infectado (equipo A) intenta ejecutar los archivos remotos, se infectarán. Cuando un equipo limpio (equipo B) intente ejecutar dicho archivo, el archivo podrá infectar todos los archivos del equipo B y el resto de archivos remotos con los que entre en contacto.
En redes de gran tamaño como la del ejemplo, el virus puede propagarse muy rápidamente. Recuerde que los medios extraíbles conectados al equipo en el que se ejecuta el código del virus, también se infectarán.
Amenazas más habituales:
- W32/Sality-AM
http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityam.html - W32/Scribble-A
http://www.sophos.com/security/analyses/viruses-and-spyware/w32scribblea.html - W32/Virut-W
http://www.sophos.com/security/analyses/viruses-and-spyware/w32virutw.html - W32/Vetor-A
http://www.sophos.com/security/analyses/viruses-and-spyware/w32vetora.html
Qué hacer
1. ¿Cuánto se ha propagado la infección?
Si utiliza Enterprise Console o Sophos Control Centre, puede generar informes sobre la infección de los equipos administrados. Recuerde que si el equipo no está protegido ni administrado con Enterprise Console o Control Centre, no podrá ver el estado. Por eso es muy importante mantener los equipos protegidos y controlados.
2. Poner los equipos en cuarentena
Los equipos infectados con virus de archivo PE deberían desconectarse de la red de forma inmediata para evitar daños mayores. Los servidores, a los que se conectan muchos equipos, también deberían desconectarse para no poner en peligro otros equipos.
3. ¿Qué grado de infección sufren los equipos?
NOTA: los virus de archivo infectan archivos, por lo que es necesario desinfectarlos, no simplemente eliminarlos.
Existen 3 niveles principales:
a) Archivos infectados detectados por la consola pero que no se detectan con el escaneado (consulte el apartado 4a).
b) Se han infectado algunos archivos de aplicaciones pero, por ahora, la infección no ha llegado a los archivos del sistema operativo ni de Sophos Anti-Virus (consulte el apartado 4b).
c) El equipo está totalmente infectado y los archivos del sistema operativo y de Sophos Anti-Virus están en peligro (consulte el apartado 5a).
4. Limpieza de equipos en las situaciones 3a y 3b
Depende del nivel de infección (consulte el paso 3 anterior).
Inicie sesión como administrador y realice los pasos siguientes en los equipos infectados, asegurándose de que los desconecta de la red antes de empezar:
a) Es probable que el equipos haya intentado acceder a un archivo infectado en un recurso remoto o medio extraíble, pero el escaneado en acceso ha impedido el acceso a los archivos infectados. Abra Sophos Anti-Virus y ejecute "Escanear el ordenador" para asegurarse de que el ordenador está limpio.
b) Abra Sophos Anti-Virus y vacíe la lista de la cuarentena (seleccione Todos|Quitar de la lista|Sí)
Haga clic en el botón "Inicio" y, a continuación, en Escanear el ordenador"
Cuando haya finalizado el escaneado, vaya al área de cuarentena y haga clic en Limpiar junto a cada elemento
Puede que necesite reiniciar el equipo para finalizar la limpieza.
5. Limpieza de los equipos en la situación 3c
Utilice SAV32CLI en modo a prueba de fallos para desinfectar los archivos. El modo a prueba de fallos utiliza menos archivos del sistema y de aplicaciones, por lo que la limpieza resulta más sencilla.
Para crear el CD-ROM SAV32CLI, consulte el artículo siguiente: Desinfección de archivos ejecutables con SAV32CLI. Necesitará personalizar el escaneado ligeramente:
Inserte el CD-ROM creado en la unidad de CD-ROM (D: en este ejemplo).
- En la línea de comandos, escriba
D:
para acceder a la unidad de CD-ROM. - Para ejecutar la herramienta, escriba:
CD SAV32CLI - A continuación, escriba
SAV32CLI -DI -PUA -P=C:\LOGFILE.TXT
para desinfectar los archivos maliciosos y crear un registro del escaneado en la unidad C:. - Debe confirmar la desinfectado de cada archivo detectado.
Si SAV32CLI encuentra un archivo infectado que se sigue ejecutando, mostrará una advertencia similar a:
>>> Virus 'W32/Vetor-A' found in file C:\Windows\explorer.exe:pid:000014e8:file
>>> Virus 'W32/Vetor-A' found in file C:\Windows\explorer.exe
>>> Virus 'W32/Vetor-A' found in file C:\Windows\explorer.exe:pid:000014e8\FILE:0000
Abra el Administrador de tareas o el Explorador de procesos y finalice todos los procesos en ejecución mencionados en los resultados del escaneado de SAV32CLI. Cuando haya cerrado todos los procesos en ejecución, vuelva a iniciar el escaneado con las alteraciones siguientes. SAV32CLI podrá desinfectar ahora los archivos que estaban bloqueados.
- SAV32CLI -DI -P=C:\LOGFILE2.TXT
Repita el escaneado en el ordenador hasta que no aparezcan más infecciones. Si se han infectado archivos del sistema central (es decir, archivos de los que no se puede prescindir fácilmente, como services.exe), es mejor que los sustituya con la consola de recuperación de Windows y un CD-ROM del sistema operativo, ya que no podrá desinfectarlos en el modo a prueba de fallos con SAV32CLI.
Los virus de archivo suelen dañar los archivos al intentar infectarlos, por lo que puede que sigan sin funcionar aunque los desinfecte. Es aconsejable sustituir los archivos que queden después del escaneado de desinfección con copias limpias.
Si no puede o tiene que sustituir demasiados archivos, póngase en contacto con el soporte técnico de Sophos y envíenos una copia del archivo LOGFILE2.TXT creado por el escaneado de SAV32CLI.
6. Reconexión de equipos
Conecte sólo los equipos que estén totalmente limpios para que no se vuelva a propagar la infección.
Acerca de los medios extraíbles
Este tipo de virus infectan medios extraíbles muy fácilmente y, si no tiene cuidado, el virus puede volver a entrar en la red. Si el escaneado en acceso de Sophos está activado y configurado para escanear archivos al abrirlos, impedirá que se ejecuten. Sin embargo, si el dispositivo está conectado a un equipo no protegido, podría acabar como al principio.
Asegúrese de que todos los medios extraíbles están limpios antes de volver a permitir su uso. Es aconsejable contar con una política para la comprobación de todos los medios antes de utilizarlos en los equipos. La opción más segura es realizar un escaneado desde un equipo de Linux, Mac o Windows aislado, protegido con Sophos.
Los usuarios de Sophos Endpoint Security and Control pueden utilizar las funciones del control de dispositivos para restringir el uso de medios extraíbles. Consulte la documentación de Endpoint Security and Control - Control de dispositivos para más información.
Si necesita más ayuda, póngase en contacto con soporte técnico.
- Artículo ID: 58269
- Creado: 12 ago 2009
- Modificado: 13 ago 2009
