Para una correcta desinfección de toda la red es imprescindible realizar estos pasos:
Aplique la solución: Actualización de seguridad para Microsoft Windows (835732), ofrecida por Microsoft en el siguiente link en las estaciones y servidores de su red para protegerse y evitar los continuos reinicios que produce este virus aprovechando una vulnerabilidad de Windows:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS04-011-IT.asp
Tenga en cuenta los siguientes puntos:
- Mientras no ejecute en su equipo la solución ofrecida por Microsoft no estará protegido contra este virus y la máquina, si está infectada, continuará reiniciándose cada vez que su equipo se conecte a Internet.
El ordenador se reinicia en 60 segundos, lo cual provoca que no se disponga de tiempo suficiente para realizar todos los pasos de desinfección. Para aumentar este tiempo puede atrasar la hora del reloj del sistema, poniendo unas horas de retraso respecto a la que aparece.
- Recuerde que en caso de formatear su equipo y reinstalar el Sistema Operativo deberá instalar de nuevo este parche para evitar infectarse de nuevo.
- Esta vulnerabilidad no es de gravedad crítica en Windows 98, Windows 98 Second Edition y Windows Millennium Edition.
- Hay que tener especial cuidado en descargar el parche correspondiente con el idioma de su sistema operativo Windows. Realice estos sencillos pasos una vez que haya accedido a este link de Microsoft:
- Lea atentamente la información ofrecida por Microsoft.
- Seleccione la descarga correspondiente a la versión de Windows que tenga instalada.
- Una vez dentro de la página de descarga, seleccione el idioma de descarga y pulse en el botón Go.
Tenga especial cuidado en realizar correctamente este paso para que descargue el parche correspondiente con el idioma de su sistema operativo. - Descargue el parche pulsando en el botón Descargar.
- Siga las instrucciones de instalación ofrecidas por Microsoft.
- Analizar y desinfectar los servidores.
- Analizar y desinfectar las estaciones.
¿Cómo analizar y desinfectar los servidores con Panda QuickRemover?
Tanto si tiene instalado Panda Administrator 2.5 como Panda AdminSecure, debe realizar los pasos que se detallan a continuación.
Realice estos pasos con cada uno de los servidores Windows que componen la red.
- Descargue la utilidad de desinfección PQREMOVE.COM ( ~ 1,38 MB), por ejemplo en el escritorio de Windows, pinchando sobre el siguiente icono:
- Ejecute esta utilidad y siga sus instrucciones.
Aunque Panda QuickRemover indique que no ha encontrado virus activos en el sistema debe pulsar el botón Continuar para realizar un análisis completo. - Reinicie el servidor.
Una vez realizados estos pasos el equipo quedará desinfectado.
Finalizado este proceso, debe actualizar la protección antivirus del servidor o servidores.
En caso de no tener instalada la protección antivirus correspondiente, deberá instalarse y después efectuar la actualización.
Si Panda Administrator o Panda AdminSecure se encuentra instalado en una estación de la red, deberá seguir los mismos pasos de desinfección que en el servidor.
Si en la red dispone de servidores Novell, Lotus Domino o Microsoft Exchange debe realizar un análisis desde Panda Administrator o Panda AdminSecure con la protección antivirus correspondiente y además correctamente actualizada.
¿Cómo analizar y desinfectar las estaciones?
Con Panda Administrator 2.5.
Una vez realizado el proceso anterior en los servidores, procederemos como se describe a continuación para asegurarnos de que el parque informático queda libre de virus. Para ello se debe realizar la desinfección de las estaciones.
Si tiene instalado Panda Administrator 2.5 realice los pasos que se le indican a continuación:
- Protección: Se actualiza el módulo de estaciones con el fin de que cuando las máquinas reinicien, cuenten con la protección del antivirus (caso de contar con la distribución de la protección antivirus con Panda Administrator). Si desea más información sobre cómo actualizar el módulo de estaciones pulse aquí.
- Desinfección: Para ello se debe modificar el login script existente realizando los siguientes pasos:
- Copie y descomprima este fichero ( ~ 1,29 MB) en una carpeta del servidor (lo aconsejable sería hacerlo en una carpeta QREMOVE que cuelgue de C:), que deberemos compartir a todos los usuarios.
La herramienta QREMOVE.ZIP para distribución en red tiene dependencias con el módulo de distribución por lo que, para seguir este proceso, es necesario tener instalado el módulo de estaciones. - Se debe modificar la estructura de Logon Script de los usuarios. Para ello procederemos de la siguiente manera:
- Si se trata de servidores Windows:
- Área de Estaciones Windows 9X del Logon Script:
Para las estaciones Windows 9X, introduciremos las siguientes líneas de ejecución:
Net use Z: \\Nombre_del_servidor\QREMOVE
Start /W Z:\qremove.com /Stealth /Auto:Clear /Restart /Pav
Nota: La unidad es personalizable. En estas estaciones (Windows 9X) es necesario mapear la carpeta del servidor donde se encuentra la utilidad, por lo que tendremos en cuenta la asignación de la letra de la unidad mapeada (asegurarse que no se encuentre ya en uso en el equipo del usuario) - Área de Estaciones Windows NT WS del Logon Script:
Para las estaciones Windows NT/2000/XP, introduciremos las siguientes líneas de ejecución:
| Start /Wait \\servidor\QREMOVE\Qrlnc.com /Stealth /Auto:Clear /Pav |
Para ver un ejemplo de Logon Script estándar pulse aquí.
- Si se trata de una red con servidores Netware debemos modificar el System Login Script de los usuarios añadiendo las líneas:
MAP ROOT X:=%Nombre_del_servidor\SYS: (siendo X la unidad escogida para ser mapeada)
IF <OS> == "Windows_NT" THEN
# CMD /C START /WAIT X:\PANDA\Qrlnc.com /Stealth /Auto:Clear /Pav
ELSE
# CMD /C START /W X:\PANDA\qremove.com /auto:Clear /restart /Stealth /pav |
Siga estas instrucciones para desinfectar las estaciones de su red, y vaya reiniciando todos los equipos. De esta forma se lanzará el Logon Script y ejecutará la solución distribuida del Panda QuickRemover que analizará y desinfectará cada máquina.
Es muy importante que Panda QuickRemove complete el análisis una vez comenzado. Si cualquier otro proceso le pide reiniciar el sistema, antes de la finalización del mismo, no lo realice hasta que éste se haya completado.
Es probable que Panda QuickRemove, una vez haya finalizado el análisis en las estaciones, pida el reinicio de las mismas. Este reinicio es imprescindible para completar la acción de desinfección.
Con Panda AdminSecure.
Una vez realizado el proceso anterior en los servidores, procederemos como se describe a continuación para asegurarnos de que el parque informático queda libre de virus. Para ello se debe realizar la desinfección de las estaciones.
Si tienen instalado Panda AdminSecure, debe realizar los siguientes pasos:
- Las máquinas que componen la red deben estar correctamente actualizadas.
Si desea más información sobre si los antivirus distribuidos desde AdminSecure se encuentran correctamente actualizados, pulse aquí. - Una vez que todos los equipos están actualizados, realice un análisis desde la consola de AdminSecure para verificar que todas las máquinas están correctamente desinfectadas.
Eliminar el virus definitivamente en Windows XP
En ordenadores con Windows Millennium y Windows XP puede encontrarse con que tras eliminar un virus, el antivirus lo vuelve a detectar en la carpeta _restore.
Si desea obtener más información sobre cómo eliminar un virus de la carpeta _restore de Windows XP pulse aquí.
Información Adicional
Este gusano se propaga a través de Internet intentando acceder a direcciones IP a través del puerto TCP 445, por lo cual y para evitar una reinfección, le recomendamos que cierre dicho puerto configurando su Modem/Router. Si necesita más información sobre cómo configurar su Modem/Router consulte con su proveedor de Internet. En caso de disponer de un Firewall deberá configurarlo cerrando el puerto 445. Para obtener más información acerca del Sasser pulse aquí. Si desea saber cómo actúa Sasser, pulse sobre el siguiente icono para ver la Animación Flash (112 KB):