Herramienta de detección y eliminación de la carga de Download.Ject


Esta herramienta ya no está disponible. Ha sido sustituida por la herramienta Microsoft Windows Malicious Software Removal. Para obtener información adicional acerca de la herramienta Malicious Software Removal, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

890830 La herramienta Microsoft Windows Malicious Software Removal facilita la eliminación en Windows Server 2003, Windows XP o Windows 2000 de determinado software malintencionado muy extendido

Resumen


Microsoft ha tenido conocimiento del programa de caballo de Troya denominado W32/Berbew (variantes de la A a la H) que se descarga después de que un equipo cliente basado en Microsoft Windows se infecta con el malware Download.Ject. El problema se produce cuando un usuario visita un sitio Web alojado en un servidor que ejecuta los Servicios de Internet Information Server (IIS) de Microsoft y que ha sido infectado por JS.Scob. Las páginas Web que se descargan en el equipo del usuario contienen un programa de JavaScript adicional que descarga el caballo de Troya Backdoor:W32/Berbew. Backdoor:W32/Berbew también se conoce como Backdoor-AXJ, Webber o Padodor. Cuando este caballo de Troya se ejecuta en el equipo del usuario, realiza varias acciones, por ejemplo:
  • Supervisa el acceso a Internet. Cuando el usuario visita alguno de los diversos sitios Web de ISP o financieros, el caballo de Troya captura información importante como los nombres de inicio de sesión, las contraseñas y otros datos confidenciales. El caballo de Troya envía a continuación esa información a un servidor Web para que su autor la recupere. Instala un servidor proxy que configura el equipo del usuario para usarse como retransmisor para acciones diversas, como el envío de correo no deseado.
  • Abre cuadros de diálogo falsos que piden al usuario que especifique información confidencial como los códigos de las tarjetas de cajeros automáticos o los números de las tarjetas de crédito. Estos datos se envían a continuación a un servidor Web para que el autor del caballo de Troya la recupere.
Microsoft ha publicado una herramienta para ayudar a quitar de un equipo las variantes del caballo de Troya Backdoor:W32/Berbew. Puede descargar esta herramienta desde el Centro de descarga de Microsoft y ejecutarla en su equipo para quitar las infecciones de Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G y Backdoor:W32/Berbew.H.
Actualizaciones técnicas
  • 8 de febrero de 2005: Microsoft ha sustituido esta herramienta por la herramienta Microsoft Windows Malicious Software Removal. Para obtener información adicional acerca de la herramienta Malicious Software Removal, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    890830 La herramienta Microsoft Windows Malicious Software Removal facilita la eliminación en Windows Server 2003, Windows XP o Windows 2000 de determinado software malintencionado muy extendido

  • 14 de julio de 2004: se han actualizado las secciones "Resumen", "Solución" e "Información de uso".
  • 13 de julio de 2004: Microsoft publicó la versión 1.0 de la herramienta de detección y eliminación de la carga de Download.Ject en el Centro de descarga de Microsoft. La versión 1.0 detecta y quita todas las variantes conocidas (de la A a la H) del caballo de Troya Backdoor:W32/Berbew.

Síntomas


Puede que experimente alguno de los siguientes síntomas:
  • El rendimiento del equipo se reduce o la conexión de red es lenta.
  • Al visitar ciertos sitios Web de ISP o financieros en línea, aparecen mensajes o cuadros de diálogo que le solicitan el número de seguridad de sus tarjetas de cajeros automáticos e información de su tarjeta de crédito.

Causa


Este problema se debe a que el equipo está infectado con el caballo de Troya Backdoor:W32/Berbew. Backdoor:W32/Berbew es distribuido por el caballo de Troya Download.ject. Para obtener más información acerca de cómo determinar si su equipo está infectado por alguna variante de Backdoor:W32/Berbew, visite el siguiente sitio Web de Microsoft:

Solución


Si dispone de un software antivirus con firmas actualizadas, contribuirá a impedir que el caballo de Troya Backdoor:W32/Berbew infecte su equipo.

Importante: se recomienda que utilice un servidor de seguridad de Internet, así como un programa antivirus con las firmas actualizadas. De este modo, Windows y sus programas se mantienen actualizados.

Para obtener información adicional sobre cómo prevenir los virus y cómo recuperarse de su infección, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
129972 Virus: descripción, prevención y recuperación

Información de descarga e instalación

Requisitos previos

La herramienta de detección y eliminación de la carga de Download.Ject tiene los requisitos previos siguientes:
  • El equipo debe ejecutar el SP2 de Microsoft Windows 2000, o una versión posterior, o bien una versión de 32 bits de Microsoft Windows XP.
  • Debe iniciar sesión como administrador del equipo o como miembro del grupo Administradores.
Para obtener información adicional acerca de cómo determinar si un equipo ejecuta una versión de 32 ó de 64 bits de Windows XP, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
827218 Cómo determinar si un equipo utiliza la versión de 32 ó 64 bits de Windows XP

Si no se cumple alguno de estos requisitos previos, la instalación no funcionará y recibirá un mensaje de error. Para obtener más información acerca de los mensajes de error, vea el archivo de registro siguiente:
%Windir%\Debug\Berbcln.log
Además, es aconsejable instalar la actualización de Windows para deshabilitar el objeto ADOBE.stream en Internet Explorer antes de ejecutar la herramienta de eliminación. Aunque la herramienta de eliminación quitará el caballo de Troya de los equipos infectados, no impedirá que el equipo se vuelva a infectar si sigue siendo vulnerable. Si instala la actualización crítica, puede contribuir a impedir otras descargas de malware procedentes de un servidor infectado por Download.Ject.

Para obtener información adicional acerca de la actualización de Windows para deshabilitar el objeto ADOBE.stream, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
870669 Cómo deshabilitar el objeto ADODB.Stream en Internet Explorer

Requisitos para reiniciar

No es necesario que reinicie el equipo una vez instalada esta herramienta.

Información de uso

Importante: antes de continuar con los pasos siguientes, asegúrese de haber hecho copia de seguridad de todos los datos importantes.

Cuando instala la herramienta de detección y eliminación de la carga de Downloadl.Ject y acepta el contrato de licencia para el usuario final (CLUF), el paquete de instalación extrae el archivo Berbcln.exe a una carpeta temporal y después ejecuta la herramienta. La herramienta de eliminación comprueba si en el equipo se cumplen los requisitos previos que se enumeran en la sección "Requisitos previos". Si los requisitos previos se cumplen, la herramienta de eliminación hace lo siguiente:
  1. Examina las siguientes subclaves del Registro para las entradas que el caballo de Troya ha agregado:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
  2. La herramienta busca en la memoria alguna evidencia del componente del caballo de Troya Backdoor:Win32/Berbew. Si la encuentra, se finaliza el proceso.
  3. Busca los siguientes archivos de datos que ha creado el caballo de Troya. Estos archivos pueden contener datos personales confidenciales. La herramienta elimina estos archivos.
    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat
  4. Elimina todos los archivos asociados con el caballo de Troya Backdoor:W32/Berbew. Estos archivos se identificaron en los pasos 1 y 2.
  5. La herramienta quita las entradas del Registro que identificó en el paso 1. Si un valor de Berbew en el Registro ya no señala a un archivo del disco duro, la herramienta no quita el valor huérfano del Registro, porque éste no causará ningún daño si el archivo asociado no existe en el disco duro.
  6. Como parte de este método de funcionamiento, el caballo de Troya ejecuta dos copias de Microsoft Internet Explorer en ventanas ocultas. Estas ventanas intentan conectarse a sitios Web malintencionados. Una de las copias intenta cargar los datos personales robados mientras la otra busca actualizaciones de software del caballo de Troya. Si la herramienta detecta el caballo de Troya Backdoor:W32/ Berbew en el equipo, termina todas las copias de Internet Explorer que se estén ejecutando en ese momento.
  7. La herramienta muestra un mensaje que describe el resultado del proceso de detección y eliminación. La siguiente lista contiene los mensajes que puede recibir y se explican sus significados.
    MensajeSignificado
    No infection detectedEl caballo de Troya Backdoor:Win32/Berbew no se detectó en este equipo.
    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.Se eliminó el caballo de Troya Backdoor:Win32/Berbew. No se precisa ninguna acción adicional.
    This tool must be run by an administrator.Debe cerrar la sesión y volver a iniciarla como administrador.
    Fatal error, please review log file.Vea el archivo %Windir%\Debug\Berbcln.log para obtener más información.
    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.Intente ejecutar la herramienta de nuevo y compruebe si hay errores en el archivo de registro.
    This tool requires Windows 2000 or Windows XP.Esta herramienta no se puede usar en versiones de Windows distintas a Windows 2000 o Windows XP.
    Incorrect Windows version (Win32s)Esta herramienta no se puede usar en Windows 3.1 con Win32s.
    Cuando cierra el cuadro de mensaje, la herramienta de eliminación se cierra y Berbcln.exe se elimina de la carpeta temporal. Ahora puede eliminar manualmente el archivo Windows-KB873018-ENU-V1.exe.
  8. La herramienta de eliminación crea en la carpeta %Windir%\Debug un archivo de registro llamado Berbcln.log. Puede usar este archivo de registro para determinar si las infecciones de Backdoor:W32/Berbew.gen fueron detectadas y eliminadas.

Modificadores de la línea de comandos

El archivo instalador de la herramienta de eliminación admite los siguientes modificadores de la línea de comandos:
  • /Q: especificar modo silencioso o suprimir los mensajes mientras se extraen los archivos.
  • /Q:U: usar el modo silencioso con intervención del usuario. El modo silencioso con intervención del usuario presenta algunos cuadros de diálogo al usuario.
  • /Q:A: usar el modo silencioso con intervención del administrador. El modo silencioso con intervención del administrador no presenta cuadros de diálogo al usuario.
  • /T:
    ruta
    : especificar la ubicación de la carpeta temporal que utiliza el programa de instalación de la herramienta de detección y eliminación de la carga de Downloadl.Ject o la carpeta de destino para la extracción de archivos (cuando se usa junto con el modificador /C).
  • /C: extraer los archivos sin instalarlos. Si /T:
    ruta
    no se ha especificado, se le pedirá que especifique una carpeta de destino.
  • /C:
    cmd
    : especificar la ruta de acceso y el nombre de otro archivo Setup .inf o de un archivo .exe que se use para instalar la herramienta.
  • /R:N: no reiniciar el equipo después de la instalación.
  • /R:I: se le pide al usuario que reinicie el equipo si el reinicio es necesario, salvo cuando el modificador se usa con el modificador /Q:A.
  • /R:A: reiniciar siempre el equipo después de la instalación.
  • /R:S: reiniciar el equipo después de la instalación sin solicitar confirmación al usuario.
Para obtener información adicional acerca de los modificadores de instalación compatibles, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
197147 Modificadores de la línea de comandos para los paquetes de actualización de software de IExpress

La herramienta de eliminación admite los siguientes modificadores de la línea de comandos:
  • /S: habilitar el modo silencioso para la herramienta. Este modificador suprime el cuadro de diálogo de estado de la infección que aparece después de ejecutarse la herramienta.

Información sobre la eliminación

El archivo Berbcln.exe se elimina automáticamente de la ubicación temporal en cuanto se ejecuta la herramienta. Puede eliminar el paquete del programa de instalación de la herramienta una vez instalada.

Nota: después de instalar la herramienta de detección y eliminación de la carga de Download.Ject, no aparece en la lista Programas instalados de la herramienta Agregar o quitar programas del Panel de control.