¿Cómo eliminar Win32/Dorkbot de mi equipo?

A lo largo de los últimos meses, desde el Laboratorio de análisis e investigación de ESET Latinoamérica hemos estado trabajando en diferentes investigaciones acerca de un gusano que afecto a gran parte de los usuarios durante el 2011 y todavía hoy, sigue comprometiendo la seguridad de aquellos equipos desprotegidos. Win32/Dorkbot.B es una de las variantes de este código malicioso que puede ocultarse en el sistema  y pasar desapercibido ante los ojos de aquellos usuarios que desconocen si el sistema está infectado o no. Durante este post, comentaremos de qué manera darnos cuenta si un equipo se encuentra infectado o no con Dorkbot, y cómo hacer para eliminarlo manualmente.

¿Cómo detectar la infección de Dorkbot?

Para saber si un equipo se encuentra infectado con alguna variante de Dorkbot existen algunos procedimientos muy sencillos que permiten hacer un diagnóstico rápido de la situación. En primera instancia, si cada vez que se conecta un dispositivos USB a la computadora, desaparecen todos los archivos y son reemplazados por accesos directos, entonces es muy probable que ese sistema esté afectado por este gusano. Otro de los puntos para identificar si un equipo fue infectado por este gusano, es intentar acceder a los sitios web de distintas casas antivirus, esta amenaza bloquea el acceso a los sitios de seguridad más conocidos, para evitar que el usuario se descargue alguna herramienta que lo pueda eliminar del sistema. Por ejemplo, para comprobar este paso podrían acceder a www.eset.com o a www.virustotal.com, si no pueden acceder a esos sitios, pero si a buscadores o redes sociales es altamente probable que este gusano esté dentro del sistema.

¿Qué es lo que hace Dorkbot?

Dorkbot es un gusano diseñado principalmente para el robo de información, una vez que se infectó un equipo con este código malicioso todas las tareas que realice el usuario son interceptadas por este malware y enviadas al atacante. Por defecto roba credenciales de Facebook, Twitter, Google+, Hotmail y otros servicios en línea para compras por Internet incluyendo el robo de credenciales bancarias. Además, esta amenaza es controlada a través del protocolo IRC,  en otras palabras, el equipo se vuelve parte de una botnet, y en el caso particular de Dorkbot se ha reportado una botnet de más de 80.000 equipos infectados en Latinoaméria.

En lo equipos infectados, Dorkbot crea una llave en el registro, y de esta manera, logra ejecutarse ante cada inicio de sesión en el sistema. El principal problema para desactivar esta funcionalidad es que el gusano la esconde ante los ojos del usuario, primero para evitar llamar la atención y segundo para que no se lo pueda desactivar tan sencillamente. Esta llave en el registro que se creo, ejecuta una copia del gusano que se guarda en dentro de uno de los directorios del usuario que se puede acceder a través de la variable de entorno %appdata%. Pero si intentan acceder en un equipo infectado a este directorio tampoco van a ver el archivo ya que también se encuentra oculto y protegido por el gusano. Estos métodos de protección se implementan por el gusano a través de dos hooks  a las API del sistema  ZwQueryDirectoryFile y a ZwEnumerateValueKey.

¿Cómo eliminar Dorkbot del sistema?

Para eliminar esta amenaza del sistema existen distintos caminos posibles, el primero de ellos y el más recomendable para los usuarios es utilizar ESET SysRescue y realizar un análisis del sistema antes de la carga del sistema operativo. Esta funcionalidad de los productos va encontrar y eliminar Dorkbot del equipo para poder utilizarlo sin problemas. Otra manera de eliminar esta amenaza es hacerlo manualmente, para ello es necesario reiniciar el sistema a Modo Seguro, con esto no se carga ninguna de las entradas del registro y eliminar la entrada y la copia del malware en el directorio %appdata%. 

Lo primero que hay que hacer para iniciar la computadora en Modo Seguro, es presionar la tecla F8 durante el inicio, al hacerlo se observa una pantalla similar a la de la siguiente imagen en dónde hay que seleccionar la opción “Modo seguro”:

A partir de la selección de esa opción el sistema va a comenzar a cargar todos los drivers y funcionalidades básicas, pero no va a ejecutar el código malicioso, por lo tanto es posible eliminarlo sin dejar rastros en el equipo. Una vez finalizada la carga del sistema, es necesario ir a Inicio-> Ejecutar e ingresar “msconfig” y darle aceptar, para ver cuáles son los programas que se cargan al inicio del sistema desde la solapa de Inicio de Windows. En este caso podemos ver que la cuarta entrada apunta a un archivo que se llama “Vldgdb.exe” alojado en “C:UsersLaboAppDataRoamingVldgdb.exe“, hay que desmarcar esta entrada:

El nombre del archivo varía según el equipo y la versión del malware pero siempre se aloja en la misma ubicación. Finalmente el último paso que nos toca efectuar es ir a ese directorio y eliminar el archivo ejecutable que ahora no se encuentra oculto:

Ahora reinicien el sistema y la amenaza ha sido removida del equipo, pueden comprobarlo intentado acceder a www.eset.com. Recuerden que en caso de haber sido víctimas de este gusano y para evitar el acceso a cualquier cuenta que hayan utilizado desde ese dispositivo cambiar las contraseñas de sus redes sociales, correos electrónicos y de ser posible también de sus cuentas de banca electrónica ya que podrían estar en mano de algún cibercriminal. Próximamente vamos a compartir con ustedes cómo hacer para recuperar los archivos de un dispositivo USB infectado con Dorkbot.

Pablo Ramos
Security Researcher

Autor , ESET

  • Pingback: ¿Cómo eliminar Win32/Dorkbot de mi equipo?()

  • Pingback: Una nueva variante del gusano Dorkbot se distribuye a través de Skype simulando ser una foto de perfil()

  • Pingback: Skype: Gusano / Troyano – Dorkbot | Undermix()

  • Argonauta

    Saludos, tengo infectado mi netbook con dorkbot pero tengo windows xp y al hacer el procedimiento de eliminación manual no encuentro el nombre “Vldgdb.exe”. Con que otro nombre lo puedo encontrar en windows XP? gracias

    • http://www.eset-la.com/. Pablo Ramos

      Hola Argonauta,

      El nombre con el cual se guarda la copia de Dorkbot en un equipo no es siempre el mismo. Normalmente está formado por 6 letras que varían según la versión del malware y el equipo. Por favor asegurarte de haber iniciado correctamente en modo a prueba de fallos y observar en dónde se alojan los archivos. Si estás utilizando un equipo con Windows XP debería estar alojado en “C:Documents and SettingsDatos de Programa”, en donde hay que cambiarlo por el nombre del usuario.

      Esperamos que te sea de ayuda, en caso contrario nos avisas o nos envias el listado de entradas que te aparecen en el registro y vemos de darte una mano. Recuerda que nos puedes encontrar en educacion at eset-la dot com

      Saludos,

      Pablo

  • miguel

    pudieran existir dos archivos con las 6 letras?si es asi las dos se eliminan?,y supongo que la leyenda “desconocido”es del virus…?

    • http://www.eset-la.com/. Pablo Ramos

      Hola Miguel,

      Si, es altamente probable que sea el que ves como desconocido. Además hay que tener en cuenta que pueden coexistir más de una variante de Dorkbot en el mismo sistema. Esto se debe principalmente a la manera en la cual funciona.

      Mi recomendación sería que te fijes por ambos archivos y en caso de que sean dos variantes distintas de Win32/Dorkbot.B las elimines.

      Una vez que iniciaste en Modo Seguro y podes acceder a http://www.eset.com/us/online-scanner/ y descargar ESET Online Scanner para comprobar que no queda ningún otro código malicioso en el equipo. Otra opción que podés probar son las versiones de trial por un mes de ESET NOD32 Antivirus o ESET Smart Security: http://www.eset-la.com/download

      Cualquier otra consulta nos avisas.

      Saludos,

      Pablo

  • Selene

    ¡Hola!

    Metí una memoria usb a una computadora y me aparecía infectada con este virus. Afortunadamente la memoria la pude limpiar, pero estoy buscando cómo eliminar el virus del equipo. Seguí las instrucciones que publicaron anteriormente, ingresando al modo a prueba de errores.

    La máquina infectada tiene instalada una versión de Windows XP, y en la ubicación que mencionan me aparece este archivo:

    C:Documents and SettingsArmadaDatos de programaFeaeaj.exe

    Mi pregunta es si el archivo Feaeaj.exe puede tratarse de ese famoso virus.

    Muchas gracias!

    • http://www.eset-la.com Raphael Labaca Castro

      Estimado:

      Envíenos por favor la muestra a samples@eset-la.com y la analizaremos en el laboratorio para poder confirmarle!

      Saludos,
      Raphael

  • Juan Linares

    la fecha de instalacion del virus si la recuerdo es la misma que aparece en el directorio? en otras palabras la fecha de instalacion del virus puede ser cambiada por este para evitar su eliminacion?. gracias

    • http://www.eset-la.com/. Pablo Ramos

      Hola Juan,

      Eso no es así realmente. Dorkbot puede actualizarse y quedar con un nuevo nombre de archivo, por lo tanto no es tan sencillo determinar la fecha de instalación de esa manera.

      En caso de que tengas problemas puedes ver nuestro post acerca del cleaner de Dorkbot y cómo utilizarlo: http://blogs.eset-la.com/laboratorio/2012/11/09/herramienta-gratuita-limpieza-automatica-dorkbot/

      Cualquier otra consutla que tengas nos avisas.

      Saludos,

      Pablo

  • Constanza

    Hola, se me acaba de infectar mi pendrive con este virus, y (como he leido) en mi caso no creó accesos directos ni dejó las carpetas ocultas. El ESET NOD las envió a cuarentena, y las eliminó aparentemente de mi pendrive. Pero cuando me dirijo a cuarentena no las puedo respaldar porque las vuelve a enviar. ¿Que debo hacer para recuperarlas? realmente son demasiado importantes, tengo trabajos para la universidad y parte de mis examenes. Saludos y ojalá puedan ayudarme

  • Pingback: Trends for 2013: Astounding growth of mobile malware « esetireland()

  • http://daaboncolombia.com/ Daabon

    Gracias este Post. me ayudo a reparar mi Computadora! Gracias a este blog lo repare! recomendado! sigan los pasos…

  • SERGIO D M

    TRABAJAR EN MS DOS
    COLOCAR EL NOMBRE DEL ACCESO DEL USB O DISCO:
    EJEMPLO G: J: H: ETC OPRIMIR ENTER

    Y DELANTE DEL DISCO A TRABAJAR SE ESCRIBE ESTO:

    G:>attrib -s -h -r /s /d

    EL TERMINO DE LA EJECUCION

    SOLO APARECERA ASI:

    G:>

    SE PUEDE CHECAR DESDE MI PC Y LAS CARPETAS ESTARAN COMPLETAS Y SOLO SE TENDRA QUE ELIMINAR LOS ARCHIVOS NO CONOCIMOS POR UD. COMO LO ES RECYCLE ETC ETC

  • Demian

    Hola, se me acaba de infectar mi disco externo con este virus, y (como he leido) en mi caso no creó accesos directos ni dejó las carpetas ocultas. El ESET NOD las envió a cuarentena, y las eliminó aparentemente de mi pendrive. Pero cuando me dirijo a cuarentena no las puedo respaldar porque las vuelve a enviar. ¿Que debo hacer para recuperarlas? realmente son demasiado importantes. Saludos y ojalá puedan ayudarme

    • http://blogs.eset-la.com André Goujon

      Estimado usuario:
      Recomendamos realizar un análisis completo de su computadora utilizando un disco de rescate. En el artículo ¿Cómo uso ESET SysRescue para crear un dispositivo USB, un CD o DVD de inicio? (5.x) podrá encontrar más información sobre cómo desinfectar su sistema de códigos maliciosos utilizando dicho método. Posteriormente, recomendamos que configure Windows para que muestre los archivos y carpetas ocultas. Lo más probable es que ESET NOD32 Antivirus esté borrando los accesos directos maliciosos y no las carpetas o el contenido almacenado en el dispositivo de almacenamiento extraíble.

      Saluda atentamente,
      André

  • http://tomasuribe.co/ Tomas

    Un exelente articulo! q e ayudo mucho! gracias.

  • ESAU

    me apareció que la maquina arrancaba con el virus pero al momento de ir ala dirección y querer eliminar el archivo no se encontraba ningún elemento en al carpeta con el nombre mostrado por que

  • luis ramirez

    yo restaure las carpetas que eset envio a cuarentena, de la siguiente manera: primero cree una carpeta en la unidad en que se borraron, a esa carpeta le coloque por nombre “A” seguido abrimos el eset vamos a herramientas luego a cuarentena (ahi se encuentran todos los archivos o carpetas que estan en cuarentena) tiqueamos el archivo o carpeta que queremos recuperar y le damos a restaurar, esto nos creara un acceso directo donde originalmente estaba dicha carpeta. tiqueamos sobre el acceso directo y se nos abrira la carpeta, seleccionamos todos los archivos o carpetas que estan dentro y le damos a cortar, luego abrimos la carpeta que creamos “A” y pegamos dentro de ella y buala todos tus datitos recuperados. luego buscar una manera de eliminar el dorkbot usar el metodo descrito al inicio. espero les sirva. chao.

  • edgar

    hice los pasos indicados pero a la hora de ir a la carpeta donde decia q ue estava ahi el virus no esta que es C:/WINDOWS/SYSTEM64/CODEDREPRODUCED.EXE no esta que hago

  • edgar

    cuando ya estoy en la configuracion del sistema no me aparacere el virus osea el archivo q hay q desmarcar “Vldgdb.exe” y segun dice que habeces varia el nombre pero dice que deve de encontrarse en la cuarta pocicion pero esta un programa que si conosco que hagoooo?

    • http://www.eset-la.com/. Pablo Ramos

      Hola Edgar,

      Tenés que tener en cuenta que según la variante de Win32/Dorkbot.B los nombres se generar con un algoritmo pseudo aleatorio por lo que se complica que el nombre del archivo sea el mismo. Igual más allá de la variante que te esté infectando deberías poder limitar el mecanismo iniciando el sistema en modo seguro ya que esto des habilita la entradas de inicio automático.

      En otro caso hay algunos pasos más avanzados para hacer en una desinfección manual. Por si acaso te dejo un enlace a nuestro cleaner de Dorkbot: http://blogs.eset-la.com/laboratorio/2012/11/09/herramienta-gratuita-limpieza-automatica-dorkbot/

      Saludos,

      Pablo Ramos

  • Maximiliano

    En la primera parte el método que han brindado es muy útil. He ingresado en modo seguro, he modificado desde msconfig los programas con los que arranca el ordenador. Pero tengo problemas para hallar el ejecutable dentro de la carpeta roaming. En mi caso el archivo llevaba por nombre Jwcqcz.exe.y no lo veo dentro de la carpeta. Es posible que siga oculto? encontré un archivo .dat (se llama wklnhst.dat) es posible que sea este el dorkbot?

    • http://www.eset-la.com Raphael Labaca Castro

      Estimado Maximiliano:

      En caso de ser usuario de ESET comuníquese con soporte@eset-la.com para que podamos darle seguimiento a su caso!

      Saludos,
      Raphael

  • Josue Noriega

    El segundo metodo me sirvio mucho… lo hice y ya no tengo el virus!!!!!

  • Sergio

    Qué tal.
    Al parecer tengo el dorkbot, pero haciendo lo que me han dicho, encuentro en /AppData/Roaming los archivos ejecutables Ckccce.exe y jeiefgtt.exe (este último es supuestamente de Earth Resource Mapping). ¿Son estos elementos los que debo eliminar o estos son parte de mi sistema?
    Gracias.

    • http://www.eset-la.com Raphael Labaca Castro

      Estimado Sergio:

      Le recomendamos realizar un escaneo completo con ESET Online Scanner para detectar cuáles archivos son Dorkbot. Otra forma sería ingresar en modo seguro e intentar subir ambos archivos a VirusTotal y saber cuál es cuál. Recuerde que puede estar infectado con más de una amenaza. Finalmente, en caso de ser usuario de ESET, no dude a ingresar a soporte@eset-la.com para que podamos darle seguimiento a su caso!

      Saludos,
      Raphael

  • Felipe

    Amigo por favor, este virus me tiene ya estresado, no me sale nombre Vldgdb cuando hago todo esto, me podrias ayudar por favor?

  • juan

    como podria eliminarse de un dispositivo usb..pronto

  • http://www.welivesecurity.com/la-es/ Pablo Ramos

    Hola Felipe, puntualmente una de las particularidades de Dorkbot es que el nombre del archivo que crea al inicio del sistema cambia según la infección, no es determinístico.

    En caso de que creas que estás infectado con este malware te recomiendo descargar ESET Online Scanner y analizar el sistema completo. http://www.eset-la.com/online-scanner/form de esta manera te podrías asegurar de que ya no hay una infección presente.

    Cualquier otra consulta que tengas no dudes en contactarnos ya sea mediante los comentarios o las redes sociales.

    Saludos,

    Pablo

  • Sergio Martinez

    una pregunta ¿Funciona el internet en modo seguro?

Síguenos