Seguridad 101: Seguridad del equipo

 
 
 

Cómo eliminar el gusano Net-Worm.Win32.Kido (Conficker, Downadup)

← Volver a la sección "Seguridad del equipo"
2013 dic 26 ID Artículo: : 1956
 
 
 
 
Referente a:
  • Kaspersky Internet Security 6.0/7.0/2009 
  • Kaspersky Anti-Virus 6.0/7.0/2009 
  • Kaspersky Anti-Virus 6.0 for Windows Workstations (MP1/MP2.MP3
  • Kaspersky Anti-Virus 6.0 for Windows Servers (MP1/MP2.MP3
  • Kaspersky Administration Kit 6.0 MP1/MP2

El Servicio de Soporte Técnico informa que ha habido un aumento de llamadas entrantes referentes a la infección de las estaciones de trabajo y servidores Windows con el virus Net-Worm.Win32.Kido (aka Conficker, Downadup).

Síntomas de infección de red

 

  1. El volumen de tráfico en la red aumenta si hay equipos infectados en la red de trabajo, porque los ataques de red empiezan desde esos equipos.
  2. El producto Anti-Virus con el Sistema de Detección de Intrusiones activado informa del ataque Intrusion.Win.NETAPI.buffer-overflow.exploit. 
  3. Es imposible acceder a las páginas web de compañías de antivirus, tales como avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.
  4. Un intento de activar Kaspersky Anti-Virus o Kaspersky Internet Security con un código de activación en un equipo infectado con Net-Worm.Win32.Kido puede fallar con un de los siguientes errores:
    • El procedimiento de activación se completó con error de sistema 2.
    • Error de activación: El nombre del servidor no se puede resolver.
    • Error de activación: No es posible conectar al servidor.

Importante!Si Kaspersky Anti-VirusKaspersky Internet Security siga reportando errores de activación mientras el equipo no esté infectado con Net-Worm.Win32.Kido, consulte el bloc de Referencias Útiles que contiene la descripción de errores de activación posibles.

Breve descripción de la familia de Net-Worm.Win32.Kido

  1. Éste crea archivos autorun.inf RECYCLED\{SID<....>}\RANDOM_NAME.vmx en discos externos (algunas veces en recursos de red compartidos)
  2. Se almacena en el sistema como un archivo DLL con un nombre aleatorio, por ejemplo, c:\windows\system32\zorizr.dll 
  3. Se registra en los servicios del sistema con un nombre aleatorio, por ejemplo knqdgsm.
  4. EÉste intenta atacar los equipos de la red a través de los puertos TCP 445139, usando la vulnerabilidad de Windows MS08-067.
  5. Intenta conectar a las siguientes páginas con el fin de aprender las direcciones IP externas de las máquinas infectadas

Métodos de desinfección. 
 

Una utilidad especial KK.exe debería usarse para eliminar éste gusano. Los sistemas operatives MS Windows 95/MS Windows 98/MS Windows ME no pueden ser infectados por éste gusano.

Para prevenir que todas las estaciones de trabajo y servidores de archivos sean infectados con el gusano, le recomendamos hacer lo siguiente:

  • Instalar el parche de Microsoft que cubre la vulnerabilidad MS08-067MS08-068MS09-001 (en estas páginas usted tiene que seleccionar el sistema operativo instalado en el equipo infectado, descargar el parche e instalarlo).
  • Asegurarse de que la contraseña de la cuenta local no es obvia y no puede ser hackeada facilmente – la contraseña debería contener 6 letras como mínimo; use una mezcla entre mayúsculas y minúsculas, números y caracteres no alfanuméricos.
  • Desactivar el inicio automático de los dispositivos extraibles por ejecutar la herramienta KK.exe con argumento -a

    • Para el sistema operativo Windows XP/Server Inicio – Ejecutar – escriba kk.exe –a – pulse OK
    • Para el sistema operativo Windows Vista: Inicio – Todos los programas – Accesorios – Ejecutar – escriba kk.exe –a – pulse OK

  • Bloquear el acceso a los puertos TCP 445 y 139 en el cortafuegos.

Es necesario bloquear estos puertos unicamente mientras se hace la desinfección. Tan pronto como haya hecho la desinfeccioón puede liberar los puertos.

La herramienta KidoKiller puede ser ejecutada localmente en la máquina infectada o remotamente por medio de Kaspersky Administration Kit.


Ejecutando la herramienta desde la línea de comandos.
. Abajo puede ver una lista de todos los comandos que pueden ser usados con la herramienta.

  • Para acceder a la línea de comandos:
  • Windows Vista: Inicio > Todos los programas > Accesorios > Ejecutar > escriba cmd y pulse Enter
  • Windows XP/Server: Inicio > Ejecutar > escriba cmd y pulse enter

Para ejecutar la utilidad KK.exe:

  • Guardar la herramienta KK.exe en el disco C, por ejemplo.
  • Ejecutar el archivo KK.exe especificando la ruta. Por ejemplo, si ha guardado la herramienta en el disco C, escriba el comando С:\KK.exe y pulse Intro.


Para eliminar el virus localmente
:

  • Descargar el archivo kk.zip y extraer el contenido en una carpeta en el equipo infectado.
  • Deshabilitar el componente Anti-Virus de archivos de Kaspersky Antivirus durante el escaneo por la herramienta si tiene una de las siguientes aplicaciones de Kaspersky instalada en el equipo infectado:

    • Kaspersky Internet Security 2009;
    • Kaspersky Anti-Virus 2009;
    • Kaspersky Internet Security 7.0;
    • Kaspersky Anti-Virus 7.0;
    • Kaspersky Internet Security 6.0;
    • Kaspersky Anti-Virus 6.0; 
    • Kaspersky Anti-Virus 6.0 for Windows Workstations;
    • Kaspersky Anti-Virus 6.0 SOS;
    • Kaspersky Anti-Virus 6.0 for Windows Servers.
  • Ejecutar el archivo KK.exe.

Ejecutada sin argumentos, la herramienta termina la infección activa (elimina flujos, remueve intercepciones), escanea la memoria y las áreas críticas vulnerables a infecciones, limpia el registro y analiza los dispositivos flash.

Es posible que la ventana de la consola se quede abierta después del escaneo. Pulse un botón para cerrarla. Para cerrar la consola automáticamente, ejecute la herramienta KK.exe con el argumento -y.

  • Esperar el fin del análisis.

Si Agnitum Outpost Firewall está instalado en el equipo donde está ejecutando la herramienta KK.exe, es obligatorio reiniciar el equipo después del análisis.

  • Haga un análisis completo de su equipo con Kaspersky Antivirus.

 

Para eliminar el virus a través de Administration Kit: 

  • Descargar el archivo kk.zip y extraer su contenido en una carpeta.
  • En la Consola de administración crear un paquete de instalación para la aplicación KK.exe. En la configuración del paquete de instalación seleccionar la variante Crear un paquete de instalación para el archivo ejecutable especificado.

En el campo Línea de comando de archivo ejecutable (opcional) definir el argumento –y para cerrar la ventana de la consola automáticamente cuando termine de trabajar la aplicación.

 

 

 

  • Usar este paquete para crear una tarea de grupo o global de implementación de aplicaciones para los equipos infectados o sospechosos.

Puede ejecutar la herramienta KK.exe en todos los equipos en su red corporativa.

  • Por favor deshabilite el componente Antivirus de archivos de Kaspersky Antivirus de los equipos clientes para ejecutar la utilidad.

  • Ejecutar la tarea

    Ejecutada desde Kaspersky Administration Kit, la herramienta será lanzada con los permisos de la cuenta SYSTEM. En éste caso no podrá acceder a ningunos volúmenes de red / carpetas compartidas. Si es necesario que la herramienta guarde logs a un volumen de red / una carpeta compartida, debe ser lanzada a través del comando Ejecutar como.

  • Una vez que la herramienta ha terminado de trabajar, escanee cada equipo con Kaspersky Antivirus

Si Agnitum Outpost Firewall está instalado en el equipo donde se está ejecutando la herramienta KK.exe, es obligatorio que reinicie el equipo cuando la utilidad haya terminado de analizar.

En una red con dominio es importante desinfectar en primer lugar los controladores de dominio y los equipos donde están logeados usuarios de los grupos “administradores” y “administradores del dominio” en el dominio. En el caso contrario la desinfección no será efectiva porque todos los equipos del dominio seguirán infectándose cada 15 minutos.

Los argumentos de la línea de comandos para ejecutar la herramienta kk.exe:

-p <ruta> - escanear la carpeta especificada;
-f – escanear los discos duros internos y externos;
-n – escanear los volúmenes de red;
-– escanear los dispositivos flash;
-y – cerrar la ventana de la herramienta al terminar;
-s – escanear en “modo silencioso” (sin abrir la ventana de consola);
-l <nombre_del_archivo> - guardar el archivo log;
-v – guardar un log detallado (utilizar junto con el argumento -l);
-z - restaurar  los servicios BITS, wuauserv,  ERSvc/WerSvc;
-x – restaurar la posibilidad de mostrar los archivos ocultos y de sistema;
-a – desactivar el inicio automático de todos los dispositivos;
-j - restaurar la clave de registro SafeBoot (el equipo no se arranque en el modo seguro sin esta clave);
-m – activar el modo de monitorización de flujos, tareas y servicios. En éste modo la herramienta reside en la memoria y periodicamente realiza un escaneo de flujos, servicios, tareas del planificador. Al detectar una infección realizará una desinfección y proseguirá con la monitorización;
-help – recibir la información detallada sobre la herramienta.

Por ejemplo, para escanear un dispositivo flash y guardar un log detallado al archivo report.txt (se crea dentro de la carpeta con el archivo kk.exe):

kk.exe -r -y -l report.txt -v

para escanear un otro disco o una partición, por ejemplo D:

kk.exe -p D:\

A partir de la versión 3.4.6, la herramienta KidoKiller devuelve los siguientes códigos (%errorlevel%):

3 – Encontrado y eliminado unos flujos maliciosos (el gusano estaba activo).
2 – Encontrado y eliminado unos archivos maliciosos (el gusano estaba inactivo).
1 – Encontrado y eliminado unas tareas maliciosas del planificador o funciones interceptadas (éste PC no está infectado pero la red puede contener equipos infectados).
– No se encontró nada.

 
 
 
 
Le ha sido de ayuda nuestra información?
Si No