Worm-Backdoor.W32/Bagle.AF@P2P+MM

Alias:
W32.Beagle.AB@mm (Symantec), W32/Bagle.af@MM (McAfee), WORM_BAGLE.AF (Trend Micro), Win32.Bagle.AB (Computer Associates), Bagle.AF (F-Secure), I-Worm.Bagle.af (Kaspersky (viruslist.com)), W32/Bagle.AF.worm (Panda Software)

Descripción:
Gusano cuya propagación se realiza a través del envío de correos electrónicos a direcciones incluidas

en el equipo infectado. También puede difundirse mediante redes de intercambio de ficheros (P2P).

Además, puede actuar como puerta trasera concediendo acceso ilícito al sistema a atacantes remotos.

Finaliza la ejecución de programas de seguridad informática (antivirus, cortafuegos,...), así como procesos relativos a otros gusanos.

Detalles:
Cuando Worm-Backdoor.W32/Beagle.AF@P2P+MM es ejecutado, realiza las siguientes acciones:

1. Crea siete mutex con los siguientes nombres, para evitar la ejecución de ciertas variantes del gusano Netsky.
   • MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
   • 'D'r'o'p'p'e'd'S'k'y'N'e't'
   • _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
   • [SkyNet.cz]SystemsMutex
   • AdmSkynetJklS003
   • ____--->>>>U<<<<--____
   • _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_
   
   Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso.
   
   
2. Elimina de las siguientes claves del registro de Windows cualquier valor que contenga alguna de las siguientes cadenas de texto:

   Claves: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
           HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   Cadenas de texto: "My AV"
                     "Zone Labs Client Ex"
                     "9XHtProtect"
                     "Antivirus"
                     "Special Firewall Service"
                     "service"
                     "Tiny AV"
                     "ICQNet"
                     "HtProtect"
                     "NetDy"
                     "Jammer2nd"
                     "FirewallSvr"
                     "MsInfo"
                     "SysMonXP"
                     "EasyAV"
                     "PandaAVEngine"
                     "Norton Antivirus AV"
                     "KasperskyAVEng"
                     "SkynetsRevenge"
                     "ICQ Net"
   

3. Crea los siguientes ficheros:
   • %System%\sysxp.exe
   • %System%\sysxp.exeopen (es una copia del gusano con datos aleatorios añadidos.)
   
   Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
   
   
4. Deposita en el sistema el fichero %System%\sysxp.exeopenopen.
   Este fichero puede ser .zip o .cpl:
   • Si es un fichero .zip, contiene dos nombres de fichero aleatorios. Uno es un .exe y el otro, un fichero de texto con extensión .sys, .dat, .idx, .vxd, .vid, o .dll.
     
   • Si es un fichero .cpl y es ejecutado, crea el fichero cplstub.exe en el directorio %Windir%.
   
   
5. Deposita en el sistema el fichero %System%\sysxp.exeopenopenopen.
   En caso de que el fichero Gdiplus.dll este presente en el sistema, el fichero tendrá una extensión .jpg o .gif. En otro caso será un fichero .bmp.
   
   
6. Deposita en el sistema el fichero %System%\sysxp.exeopenopenopenopen, que no posee ningún contenido vírico.
   
   
7. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

   Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   Valor: "key" = "%System%\sysxp.exe" 

8. Si la fecha del sistema es posterior al 25 de enero de 2005, Worm-Backdoor.W32/Beagle.AF@P2P+MM desaparecerá del sistema, eliminando sus entradas en el registro de Windows, así como la clave:

   Clave: HKEY_CURRENT_USER\SOFTWARE\base_path

9. Abre los puertos TCP 1080 y UDP 1079, y queda a la espera de comandos procedentes del atacante.
   Esta capacidad de actuar como puerta trasera, permite entre otras cosas, que el equipo infectado se utilice como emisor de correo, y también la actualización del propio gusano.
   
   
10. Contacta con una rutina php alojada en cada uno de los siguientes dominios:
    • http://www.bmgs.bund.de
    • http://www.gtz.de
    • http://www.dwelle.de
    • http://www.monster.de
    • http://www.regtp.de
    • http://www.stufenlos-regelbar.de
    • http://www.rapz-records.de
    • http://abtacha.wirebrain.de
    • http://die-cliquee.de
    • http://www.gantke-net.de
    • http://www.dar-fantasy.de
    • http://www.mdirk.de
    • http://www.calistyler.de
    • http://tripod.de
    • http://sgi1.rz.rwth-aachen.de
    • http://www.sysserver1.de
    • http://www.vwschubert.de
    • http://ronnyackermann.de
    • http://www.destatis.de
    • http://www.berlinonline.de
    • http://www.meinestadt.de
    • http://obechmann.de
    • http://www.stepstone.de
    • http://www.degruyter.de
    • http://www.lufthansa.de
    • http://www.duden.de
    • http://www.pcwelt.de
    • http://www.astronomie.de
    • http://www.abacho.de
    • http://www.bundesliga.de
    • http://www.expo2000.de
    • http://knecht.cs.uni-magdeburg.de
    • http://www.murczak.de
    • http://www.murczak.de
    • http://www.lupo18t.de
    • http://www.hosteurope.de
    • http://login.rz.fh-augsburg.de
    • http://www.hannobunz.de
    • http://dfk-crew.clanintern.de
    • http://www.empire-show.de
    • http://www.atlantis-show.de
    • http://www.superstar-nord.de
    • http://www.lords-of-havoc.de
    • http://deepiceman.de
    • http://www.atlas-hannover.de
    • http://begros.de
    • http://www.h-p-i.de
    • http://www.szakos.de
    • http://www.king-alp.de
    • http://people-ftp.freenet.de
    • http://www.stuttgart.de
    • http://www.eumetsat.de
    • http://www.gutenberg2000.de
    • http://www.heidelberg.de
    • http://www.tu-muenchen.de
    • http://www.studentenwerke.de
    • http://www.stellenmarkt.de
    • http://zille.cs.uni-magdeburg.de
    • http://www.mupad.de
    • http://www.gelbeseiten.de
    • http://www.klug-suchen.de
    • http://www.niedersachsen.de
    • http://www.frankfurter-buchmesse.de
    • http://www.freiburg.de
    • http://www.messe-duesseldorf.de
    • http://www.beck.de
    • http://zeus05.de
    • http://www.europarl.de
    • http://www.onlinereviewguide.com
    • http://www.krebsinformation.de
    • http://www.brigitte.de
    • http://www.webhits.de
    • http://www.kabel1.de
    • http://www.saarland.de
    • http://www.renewables2004.de
    • http://www.awi-bremerhaven.de
    • http://www.uni-tuebingen.de
    • http://www.frankfurt-airport.de
    • http://people-ftp.freenet.de
    • http://people-ftp.freenet.de
    • http://www.szakos.de
    • http://www.king-alp.de
    • http://niematec.de
    • http://symbit.de
    • http://pe-data.de
    • http://web154.essen082.server4free.de
    • http://web216.berlin240.server4free.de
    • http://edwinf.surfplanet.de
    • http://www.stricker-doerpen.de
    • http://www.helmholtz.de
    • http://www.staedtetag.de
    • http://www.tu-dresden.de
    • http://www.immobilienscout24.de
    • http://www.karlsruhe.de
    • http://www.citypopulation.de
    • http://www.schulen-ans-netz.de
    • http://www.fernuni-hagen.de
    • http://www.stifterverband.de
    • http://www.wissenschaft-online.de
    • http://www.nuernbergmesse.de
    • http://www.dortmund.de
    • http://www.uni-marburg.de
    • http://www.anwaltverein.de/
    • http://www.math-net.de
    • http://www.finanznachrichten.de
    • http://www.uni-bremen.de
    • http://www.tu-darmstadt.de
    • http://www.aachen.de
    • http://www.dasding.de
    • http://www.messe-muenchen.de
    • http://www.uni-duisburg-essen.de
    • http://www.photokina.de
    • http://www.umweltbundesamt.de
    • http://www.jugendherberge.de
    • http://www.bitburger.de
    • http://www.munich-airport.de
    • http://www.uni-mannheim.de
    • http://www.uni-frankfurt.de
    • http://www.ruhr-uni-bochum.de
    • http://www.medicine-worldwide.de
    • http://www.firstgate.de
    • http://www.kompetenznetze.de
    • http://www.uni-jena.de
    • http://www.testdaf.de
    • http://www.kalenderblatt.de
    • http://www.baden-wuerttemberg.de
    • http://www.saarbruecken.de
    • http://www.kompetenzz.de
    • http://www.aquarius.geomar.de
    • http://www.uni-duesseldorf.de
    • http://www.urlaubstage.de
    • http://www.wiley-vch.de
    • http://www.mohr.de
    • http://www.bessy.de
    • http://www.bayerninfo.de
    • http://www.uni-osnabrueck.de
    • http://www.stuttgarter-zeitung.de
    • http://www.mathguide.de
    • http://www.blk-bonn.de/
    • http://www.slowfood.de
    • http://www.schaubuehne.de
    • http://www.unibw-muenchen.de
    
    
11. Finaliza la ejecución de los siguientes procesos, muchos de ellos relativos a aplicaciones o programas de seguridad informática, como antivrus, cortafuegos, etc:
    
    
    • OUTPOST.EXE
    • NMAIN.EXE
    • NORTON_INTERNET_SECU_3.0_407.EXE
    • NPF40_TW_98_NT_ME_2K.EXE
    • NPFMESSENGER.EXE
    • NPROTECT.EXE
    • NSCHED32.EXE
    • NTVDM.EXE
    • NVARCH16.EXE
    • KERIO-WRP-421-EN-WIN.EXE
    • KILLPROCESSSETUP161.EXE
    • LDPRO.EXE
    • LOCALNET.EXE
    • LOCKDOWN.EXE
    • LOCKDOWN2000.EXE
    • LSETUP.EXE
    • CLEANPC.EXE
    • AVprotect9x.exe
    • CMGRDIAN.EXE
    • CMON016.EXE
    • CPF9X206.EXE
    • CPFNT206.EXE
    • CV.EXE
    • CWNB181.EXE
    • CWNTDWMO.EXE
    • ICSSUPPNT.EXE
    • DEFWATCH.EXE
    • DEPUTY.EXE
    • DPF.EXE
    • DPFSETUP.EXE
    • DRWATSON.EXE
    • ENT.EXE
    • ESCANH95.EXE
    • AVXQUAR.EXE
    • ESCANHNT.EXE
    • ESCANV95.EXE
    • AVPUPD.EXE
    • EXANTIVIRUS-CNET.EXE
    • FAST.EXE
    • FIREWALL.EXE
    • FLOWPROTECTOR.EXE
    • FP-WIN_TRIAL.EXE
    • FRW.EXE
    • FSAV.EXE
    • AUTODOWN.EXE
    • FSAV530STBYB.EXE
    • FSAV530WTBYB.EXE
    • FSAV95.EXE
    • GBMENU.EXE
    • GBPOLL.EXE
    • GUARD.EXE
    • GUARDDOG.EXE
    • HACKTRACERSETUP.EXE
    • HTLOG.EXE
    • HWPE.EXE
    • IAMAPP.EXE
    • IAMAPP.EXE
    • IAMSERV.EXE
    • ICLOAD95.EXE
    • ICLOADNT.EXE
    • ICMON.EXE
    • ICSUPP95.EXE
    • ICSUPPNT.EXE
    • IFW2000.EXE
    • IPARMOR.EXE
    • IRIS.EXE
    • JAMMER.EXE
    • ATUPDATER.EXE
    • AUPDATE.EXE
    • KAVLITE40ENG.EXE
    • KAVPERS40ENG.EXE
    • KERIO-PF-213-EN-WIN.EXE
    • KERIO-WRL-421-EN-WIN.EXE
    • BORG2.EXE
    • BS120.EXE
    • CDP.EXE
    • CFGWIZ.EXE
    • CFIADMIN.EXE
    • CFIAUDIT.EXE
    • AUTOUPDATE.EXE
    • CFINET.EXE
    • NAVAPW32.EXE
    • NAVDX.EXE
    • NAVSTUB.EXE
    • NAVW32.EXE
    • NC2000.EXE
    • NCINST4.EXE
    • AUTOTRACE.EXE
    • NDD32.EXE
    • NEOMONITOR.EXE
    • NETARMOR.EXE
    • NETINFO.EXE
    • NETMON.EXE
    • NETSCANPRO.EXE
    • NETSPYHUNTER-1.2.EXE
    • NETSTAT.EXE
    • NISSERV.EXE
    • NISUM.EXE
    • CFIAUDIT.EXE
    • LUCOMSERVER.EXE
    • AGENTSVR.EXE
    • ANTI-TROJAN.EXE
    • ANTI-TROJAN.EXE
    • ANTIVIRUS.EXE
    • ANTS.EXE
    • APIMONITOR.EXE
    • APLICA32.EXE
    • APVXDWIN.EXE
    • ATCON.EXE
    • ATGUARD.EXE
    • ATRO55EN.EXE
    • ATWATCH.EXE
    • AVCONSOL.EXE
    • AVGSERV9.EXE
    • AVSYNMGR.EXE
    • BD_PROFESSIONAL.EXE
    • BIDEF.EXE
    • BIDSERVER.EXE
    • BIPCP.EXE
    • BIPCPEVALSETUP.EXE
    • BISP.EXE
    • BLACKD.EXE
    • BLACKICE.EXE
    • BOOTWARN.EXE
    • NWINST4.EXE
    • NWTOOL16.EXE
    • OSTRONET.EXE
    • OUTPOSTINSTALL.EXE
    • OUTPOSTPROINSTALL.EXE
    • PADMIN.EXE
    • PANIXK.EXE
    • PAVPROXY.EXE
    • DRWEBUPW.EXE
    • PCC2002S902.EXE
    • PCC2K_76_1436.EXE
    • PCCIOMON.EXE
    • PCDSETUP.EXE
    • PCFWALLICON.EXE
    • PCFWALLICON.EXE
    • PCIP10117_0.EXE
    • PDSETUP.EXE
    • PERISCOPE.EXE
    • PERSFW.EXE
    • PF2.EXE
    • AVLTMAIN.EXE
    • PFWADMIN.EXE
    • PINGSCAN.EXE
    • PLATIN.EXE
    • POPROXY.EXE
    • POPSCAN.EXE
    • PORTDETECTIVE.EXE
    • PPINUPDT.EXE
    • PPTBC.EXE
    • PPVSTOP.EXE
    • PROCEXPLORERV1.0.EXE
    • PROPORT.EXE
    • PROTECTX.EXE
    • PSPF.EXE
    • WGFE95.EXE
    • WHOSWATCHINGME.EXE
    • AVWUPD32.EXE
    • NUPGRADE.EXE
    • WHOSWATCHINGME.EXE
    • WINRECON.EXE
    • WNT.EXE
    • WRADMIN.EXE
    • WRCTRL.EXE
    • WSBGATE.EXE
    • WYVERNWORKSFIREWALL.EXE
    • XPF202EN.EXE
    • ZAPRO.EXE
    • ZAPSETUP3001.EXE
    • ZATUTOR.EXE
    • CFINET32.EXE
    • CLEAN.EXE
    • CLEANER.EXE
    • CLEANER3.EXE
    • CLEANPC.EXE
    • CMGRDIAN.EXE
    • CMON016.EXE
    • CPD.EXE
    • CFGWIZ.EXE
    • CFIADMIN.EXE
    • PURGE.EXE
    • PVIEW95.EXE
    • QCONSOLE.EXE
    • QSERVER.EXE
    • RAV8WIN32ENG.EXE
    • REGEDT32.EXE
    • REGEDIT.EXE
    • UPDATE.EXE
    • RESCUE.EXE
    • RESCUE32.EXE
    • RRGUARD.EXE
    • RSHELL.EXE
    • RTVSCN95.EXE
    • RULAUNCH.EXE
    • SAFEWEB.EXE
    • SBSERV.EXE
    • SD.EXE
    • SETUP_FLOWPROTECTOR_US.EXE
    • SETUPVAMEEVAL.EXE
    • SFC.EXE
    • SGSSFW32.EXE
    • SH.EXE
    • SHELLSPYINSTALL.EXE
    • SHN.EXE
    • SMC.EXE
    • SOFI.EXE
    • SPF.EXE
    • SPHINX.EXE
    • SPYXX.EXE
    • SS3EDIT.EXE
    • ST2.EXE
    • SUPFTRL.EXE
    • LUALL.EXE
    • SUPPORTER5.EXE
    • SYMPROXYSVC.EXE
    • SYSEDIT.EXE
    • TASKMON.EXE
    • TAUMON.EXE
    • TAUSCAN.EXE
    • TC.EXE
    • TCA.EXE
    • TCM.EXE
    • TDS2-98.EXE
    • TDS2-NT.EXE
    • TDS-3.EXE
    • TFAK5.EXE
    • TGBOB.EXE
    • TITANIN.EXE
    • TITANINXP.EXE
    • TRACERT.EXE
    • TRJSCAN.EXE
    • TRJSETUP.EXE
    • TROJANTRAP3.EXE
    • UNDOBOOT.EXE
    • VBCMSERV.EXE
    • VBCONS.EXE
    • VBUST.EXE
    • VBWIN9X.EXE
    • VBWINNTW.EXE
    • VCSETUP.EXE
    • VFSETUP.EXE
    • VIRUSMDPERSONALFIREWALL.EXE
    • VNLAN300.EXE
    • VNPC3000.EXE
    • VPC42.EXE
    • VPFW30S.EXE
    • VPTRAY.EXE
    • VSCENU6.02D30.EXE
    • VSECOMR.EXE
    • VSHWIN32.EXE
    • VSISETUP.EXE
    • VSMAIN.EXE
    • VSMON.EXE
    • VSSTAT.EXE
    • VSWIN9XE.EXE
    • VSWINNTSE.EXE
    • VSWINPERSE.EXE
    • W32DSM89.EXE
    • W9X.EXE
    • WATCHDOG.EXE
    • WEBSCANX.EXE
    • CFIAUDIT.EXE
    • CFINET.EXE
    • ICSUPP95.EXE
    • MCUPDATE.EXE
    • CFINET32.EXE
    • CLEAN.EXE
    • CLEANER.EXE
    • LUINIT.EXE
    • MCAGENT.EXE
    • MCUPDATE.EXE
    • MFW2EN.EXE
    • MFWENG3.02D30.EXE
    • MGUI.EXE
    • MINILOG.EXE
    • MOOLIVE.EXE
    • MRFLUX.EXE
    • MSCONFIG.EXE
    • MSINFO32.EXE
    • MSSMMC32.EXE
    • MU0311AD.EXE
    • NAV80TRY.EXE
    • ZAUINST.EXE
    • ZONALM2601.EXE
    
    
12. Intenta crear copias de sí mismo en cualquier directorio que contenga la cadena de caracteres "shar", como es el caso de los directorios por defecto de intercambio de ficheros de muchas aplicaciones P2P como KaZaA, Bearshare, etc.
    
    Los ficheros tendrán los siguientes nombres:
    • Microsoft Office 2003 Crack, Working!.exe
    • Microsoft Windows XP, WinXP Crack, working Keygen.exe
    • Microsoft Office XP working Crack, Keygen.exe
    • Porno, sex, oral, anal cool, awesome!!.exe
    • Porno Screensaver.scr
    • Serials.txt.exe
    • KAV 5.0
    • Kaspersky Antivirus 5.0
    • Porno pics arhive, xxx.exe
    • Windows Sourcecode update.doc.exe
    • Ahead Nero 7.exe
    • Windown Longhorn Beta Leak.exe
    • Opera 8 New!.exe
    • XXX hardcore images.exe
    • WinAmp 6 New!.exe
    • WinAmp 5 Pro Keygen Crack Update.exe
    • Adobe Photoshop 9 full.exe
    • Matrix 3 Revolution English Subtitles.exe
    • ACDSee 9.exe
    
    
13. Busca direcciones de correo electrónico contenidas en ficheros con las siguientes extensiones:
    • .wab
    • .txt
    • .msg
    • .htm
    • .shtm
    • .stm
    • .xml
    • .dbx
    • .mbx
    • .mdx
    • .eml
    • .nch
    • .mmf
    • .ods
    • .cfg
    • .asp
    • .php
    • .pl
    • .wsh
    • .adb
    • .tbb
    • .sht
    • .xls
    • .oft
    • .uin
    • .cgi
    • .mht
    • .dhtm
    • .jsp
    
    
14. Utiliza su propio motor SMTP (Simple Mail Transfer Protocol) para enviar mensajes a todas las direcciones encontradas, aunque evita remitir el mismo a las direcciones electrónicas que contengan alguno de los siguientes textos:
    
    
    • @hotmail
    • @msn
    • @microsoft
    • rating@
    • f-secur
    • news
    • update
    • anyone@
    • bugs@
    • contract@
    • feste
    • gold-certs@
    • help@
    • info@
    • nobody@
    • noone@
    • kasp
    • admin
    • icrosoft
    • support
    • ntivi
    • unix
    • bsd
    • linux
    • listserv
    • certific
    • sopho
    • @foo
    • @iana
    • free-av
    • @messagelab
    • winzip
    • google
    • winrar
    • samples
    • abuse
    • panda
    • cafee
    • spam
    • pgp
    • @avp.
    • noreply
    • local
    • root@
    • postmaster@
    
    El correo enviado tiene las siguientes características:
    
    Remitente: - falsificado -
    
    Asunto:
    
    
    • Si el fichero anexo es .zip, el asunto del mensaje será alguno de los siguientes:
      • Password:
      • Pass -
      • Password -
      
      
    • Si el fichero anexo NO es .zip, el asunto del mensaje será alguno de los siguientes:
      • Re: Msg reply
      • Re: Hello
      • Re: Yahoo!
      • Re: Thank you!
      • Re: Thanks :)
      • RE: Text message
      • Re: Document
      • Incoming message
      • Re: Incoming Message
      • RE: Incoming Msg
      • RE: Message Notify
      • Notification
      • Changes..
      • Update
      • Fax Message
      • Protected message
      • RE: Protected message
      • Forum notify
      • Site changes
      • Re: Hi
      • Encrypted document
    
    Cuerpo del mensaje:
    
    
    • Si el fichero anexo es .zip, el contenido del mensaje será alguno de los siguientes textos:
      • For security reasons attached file is password protected. The password is
      • For security purposes the attached file is password protected. Password --
      • Note: Use password
      • Attached file is protected with the password for security reasons. Password is
      • In order to read the attach you have to use the following password:
      • Archive password:
      • Password
      • Password:
      seguido de una copia del fichero con la imagen depositado en el sistema como sysxp.exeopenopenopen.
      
      
    • Si el fichero anexo NO es un fichero .zip, el contrenido del mensaje será alguno de los siguientes:
      • Read the attach.
      • Your file is attached.
      • More info is in attach
      • See attach.
      • Please, have a look at the attached file.
      • Your document is attached.
      • Please, read the document.
      • Attach tells everything.
      • Attached file tells everything.
      • Check attached file for details.
      • Check attached file.
      • Pay attention at the attach.
      • See the attached file for details.
      • Message is in attach
      • Here is the file.
    
    Fichero Anexo: uno de los siguientes:
    • Information
    • Details
    • text_document
    • Updates
    • Readme
    • Document
    • Info
    • MoreInfo
    • Message
    
    Extensión del Anexo: una de las siguientes:
    • .exe
    • .scr
    • .com
    • .cpl
    • .zip

Solución:

1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

   Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.
   
   

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
    
   Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 
   
   Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
   
   
3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.
   
   
4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

   Para evitar que se ejecute automáticamente cada vez que el sistema es reinciado, elimine el valor indicado de la siguiente clave del registro de Windows:

   Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   Valor: "key" = "%System%\sysxp.exe"
   
   

5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

• Symantec
• McAfee
• Trend Micro

Fuente: red.es