Cómo eliminar el virus Beagle/Bagle

Cómo eliminar el virus Beagle/Bagle

El malware Bagle es en realidad un gusano informático que se propaga principalmente en los programas P2P, a través de cracks falsos (programas piratas) y por email. Si el Bagle o Beagle se ha instalado en tu PC sigue los pasos a continuación para eliminarlo en Windows (incluidas las versiones 7, 8 y 10 de este sistema operativo).

¿Cómo saber si mi PC está infectado con el virus Bagle?

El virus Bagle empieza infectando un archivo al arrancar el PC, de forma que es capaz de leer y eliminar la clave 'safeboot', anulando la posibilidad de iniciar el sistema en 'Modo seguro' a prueba de fallos. El Bagle también es capaz de neutralizar el funcionamiento del antivirus y el cortafuegos, así como otros programas de seguridad (aparecerá el error "aplicación win32 no válida"). Debido a esto y a su velocidad de propagación, el Bagle se ha convertido en uno de los virus más molestos que circulan por la red.

Cuando el Bagle se instala en tu PC y lo infecta, aparece una ventana en la que tienes la opción de escoger un archivo y crackeado. En realidad, el sistema no hará nada, ya que se trata de un señuelo del virus. 

¿Cómo saber si mi PC está infectado con el virus Bagle?
© Windows

Mensaje que aparece tras la búsqueda: 

¿Cómo saber si mi PC está infectado con el virus Bagle?
© Windows

Atención No intentes reiniciar en modo seguro a través del comando msconfig, ya que puede aparecer un problema debido al virus Bagle que haga que tu sistema se reinicie en bucle.

¿Cómo desinfectar el virus Bagle?

Si tienes Windows 7, 8 o 10 y tu PC está infectado con Bagle, tienes varias formas de eliminarlo:

Reparar el acceso al modo seguro

La primera opción consiste en reparar el acceso al modo seguro de tu PC. Para ello debes descargar alguno de estos programas:

  • Aplicación Safe Boot Key Repair.
  • Recuperando o reinsertando el archivo *.reg de acuerdo a tu versión de Windows. Hay varias formas de hacerlo (sigue leyendo)

Método 1: Elibagla

  1. Descarga la utilidad Elibagla de Satinfo haciendo clic en este enlace
  2. Haz doble clic sobre el archivo ejecutable para instalarlo
  3. Verifica que en el menú desplegable Unidad, eliges la ubicación C:\ (o la partición que contenga el sistema operativo)
  4. Verifica también que esté marcada la opción Eliminar Ficheros Automáticamente
  5. Haz clic en el botón Explorar para lanzar el análisis de Elibagla. Cuando finalice el escaneo, se generará un informe llamado infosat.txt que será guardado en la raíz C:\infosat.txt 
Método 1: Elibagla
© Satinfo

Para más información, aquí tienes un ejemplo de un informe conteniendo archivos infectados:

Thu Feb 28 21:49:09 2008  
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L.  
----------------------------------------------  
Lista de Acciones (por Acción Directa):  
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.  
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle  
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.  
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.  
Restaurada Clave: "SafeBoot\Minimal y Network"  
Reinicie para Completar la Limpieza.  
Thu Feb 28 21:49:48 2008  
EliBagle v11.08  (c)2008 S.G.H. / Satinfo S.L.  
----------------------------------------------  
Lista de Acciones (por Exploración):  
Explorando Unidad C:\  
C:\Program Files\ATI Technologies\ATI Control Panel\ATIPTAXX.EXE -->Eliminado 
Bagle.dldr  
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para 
completar la Limpieza)  
C:\WINDOWS\system32\WINTEMS.EXE --> Acceso Denegado, Bagle (Reiniciar para 
completar la Limpieza)  
Nº Total de Directorios:   7505  
Nº Total de Ficheros:      82386  
Nº de Ficheros Analizados: 12450  
Nº de Ficheros Infectados: 3  
Nº de Ficheros Limpiados:  3  

Para entender el informe de tu PC, debes prestar atención a lo siguiente:

  • La mención: Eliminado Bagle significa que el componente del virus Bagle ha sido eliminado.
  • La mención: Bagle Acceso Denegado significa que el acceso a este archivo ha sido denegado, por lo tanto no ha sido eliminado.
  • La mención: Acceso Denegado, Bagle (Reiniciar para completar la limpieza) significa que se necesita volver a pasar la aplicación para completar la limpieza.
  • Elibagla es capaz de reparar la clave safeboot eliminada por Bagle. En ese caso, la siguiente mención aparece en el informe: Restaurada Clave: "SafeBoot\Minimal y Network"

Atención: debes ejecutar varias veces Elibagla en modo normal y en modo seguro para eliminar la mayor cantidad de archivos infectados.

En el ejemplo que te mostramos, Elibagla no ha eliminado de una sola vez la infección. Si llegado a este punto estás en la misma situación, sigue leyendo para aplicar alguna de las herramientas alternativas de más abajo.

Método 2: Gmer

  • Descarga Gmer haciendo clic en este enlace. Para seguir adelante con este proceso, es necesario tener nociones básicas de cómo hacer un script con Gmer.

Importante: continúa adelante con el proceso aunque salte una alerta de antivirus al abrir el archivo gmer.sys o gmer.exe

  • Descomprime el archivo y arrástralo o guárdalo en el escritorio, y después haz doble clic en gmer.exe
  • Haz clic en la pestaña rootkit y asegúrate de que las casillas Services, Registry y Files estén marcadas
  • Haz clic en scan y una vez terminado, sigue esta ruta:
  • Haz clic en Inicio
  • Selecciona la opción Ejecutar y escribe el comando cmd, después pulsa 'Aceptar'
  • En la ventana negra que se abrirá después, copia una a una cada una de las líneas, previamente impresas. Recuerda poner una por una, prestando mucha atención para que sean idénticas (sintaxis, espacio entre palabras...) y valida cada una de las líneas con la tecla Enter.

A continuación, un ejemplo de script elaborado en función del informe de Elibagla anterior:

gmer -killall  
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SROSA"  
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\SROSA"  
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\SROSA"  
gmer -del service SROSA 
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS"  
gmer -del file "C:\WINDOWS\SYSTEM32\WINTEMS.EXE"  
gmer -del file "C:\WINDOWS\SYSTEM32\BAN_LIST.TXT"  
gmer -del file "C:\WINDOWS\system32\MDELK.EXE"  
gmer -del file "C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE"  
gmer -reboot 

Si al final del proceso tu PC no se reinicia sólo, haz un reset para forzar el reinicio.

Método 3: Combofix

  • Descargar Combofix, un excelente limpiador de troyanos (no solo del Bagle), haciendo clic en este enlace.
  • Guárdalo en el escritorio y a continuación, desconecta internet y cierra todas las aplicaciones y programas que tengas abiertos en tu PC.
  • Ve al Escritorio y haz doble clic en combo-fix.exe.
  • Presiona la tecla Y (Yes) para iniciar el escaneo de tu sistema. El resultado del scan se guardará en la razí C:\Combofix.txt 
Método 3: Combofix
© Combofix

Método 4: Malwarebyte's

Esta excelente herramienta tiene la particularidad de detectar la totalidad de la infección Bagle. No obstante, sólo es eficaz si utilizas Elibagla antes. 

Método 4: Malwarebyte's
© Malwarebyte's Anti-Malware
  • En primer lugar, descarga MalwareByte's Anti-Malware haciendo clic en este link.
  • Instala el programa desde el Escritorio y presta atención: si por alguna razón falta el archivo COMCTL32.OCX, puedes descargarlo haciendo clic aquí
  • Antes de continuar, comprueba si hay actualizaciones disponibles e instlálalas. Simplemente tienes que localizar el botón 'Actualizar' y después hacer clic en 'Buscar actualizaciones'.
  • Inicia Windows en modo seguro. Si no sabes cómo hacerlo, es fácil: te lo explicamos en este enlace.
  • Ejecuta MalwareByte's Anti-Malware y haz clic en Realizar un examen completo. A continuación, pulsa Examinar y selecciona todos los discos duros que tengas en tu PC.
  • Una vez terminado el escaneo de todo tu dispositivo, haz clic en Eliminar para destruir la infección. Si aparece un mensaje para reiniciar el PC, selecciona 'aceptar'.
  • Podrás guardar el informe que se genere a continuación en el emplazamiento de tu PC que prefieras.

¿Qué trucos prácticos existen para eliminar un virus? 

Renombrar Elibagla

Los hackers y cibercriminales van mejorando Bagle para superar los últimos métodos de desinfección. Sin embargo, hay formas de seguir combatiendo este virus informático. Por ejemplo, puedes utilizar este truco para hacer que Elibagla sea más eficaz y logre detectar cualquier variante de Bagle:

  • Renombra Elibagla como 'mdelk.exe', que es el mismo nombre de uno de los archivos que hacen parte de la infección: al aparecer como mdelk.exe y el rootkit será incapaz de diferenciar el archivo de la infección que lleva el mismo nombre y que le autoriza un campo de acción mucho más importante.
  • Elibagla renombrado de este modo será capaz de neutralizar toda la infección con solo un intento. Simplemente, reinicia tu PC al terminar y haz un segundo escaneo para estar completamente seguro de que toda la infección ha sido eliminada.

Último remedio para Windows 7, 8 y 10

La evolución del Bagle puede hacer más difícil aún su eliminación definitiva del sistema. Como se trata de un troyano muy extendido, Microsoft ha decidido combatirlo con sus propios medios y está lanzando actualizaciones de Windows Defender especiales para Windows 8 y 10.

Si quieres probar este método con Windows 7 o Windows Vista, deberás utilizar Microsoft Security Essentials. En ambos casos, Microsoft recomienda combinar estas herramientas con el analizador Microsoft Safety Scanner.

Información adicional: Es probable que si escaneas tu PC con Windows Defender o Microsoft Security Essentials (en función del sistema operativo que uses), el escaneo revele muchos otros virus y malwares escondidos en tu dispositivo.

En línea de comando

Este truco está destinado principalmente a los usuarios más avezados y con conocimientos de informática superiores, así como a las personas que ayudan en foros de ciberseguridad.

El falso crack que se copia en lugar de un archivo sano para infectar tu PC tiene la particularidad de utilizar un protector de archivo: Themida. Este comando es capaz de revelar la presencia de archivos infectados ligados a Bagle y camuflados por este protector de archivo. Abre el prompt (símbolo de sistema) de tu PC y escribe lo siguiente:

findstr /S /I /M /L "Themida" C:\*.exe>>"%userprofile%\escritorio\Startvir.txt

En el escritorio, el archivo Startvir.txt listará los archivos sospechosos encontrados, así que sólo tendrás que eliminarlos después de haber interpretado los resultados.

Virus