HomeRecursosConficker

¿Cómo combatir el gusano de red Conficker?

Síntomas de infección de la red

1. El volumen de tráfico en red se incrementa si hay PC´s infectadas en la red, ya que el ataque a la red comienza en estas PC´s.

2. El producto anti-virus con el Intrusion Detection System habilitado informa del ataque Intrusion.Win.NETAPI.buffer-overflow.exploit

Breve descripción de la familia Net-Worm.Win32.Kido

1. Crea archivos autorun.inf y RECYCLED\{SID<....>}\RANDOM_NAME.vmx en unidades de disco extraíbles (a veces en redes públicas)

2. Se auto-almacena en los sistemas como un archivo DLL con un nombre aleatorio, por ejemplo, c:\windows\system32\zorizr.dll

3. Se auto-registra en los servicios de sistema con un nombre aleatorio, por ejemplo, knqdgsm.

4. Trata de atacar redes de computadoras a través del Puerto TCP 139 o 445, usando MS Windows vulnerability MS08-067.

5. Trata de conectarse a los siguientes sitios (recomendamos configurar el firewall de red para vigilar los intentos de conexión a estos sitios):

http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
http://schemas.xmlsoap.org/soap/envelope/
http://schemas.xmlsoap.org/soap/encoding/

Métodos de desinfección.

Deberá ser usada una utilidad especial KK.exe para eliminar este gusano.

Warning Para prevenir que alguna estación de trabajo o servidor de archivos se infecte con el gusano, se le recomienda seguir los siguientes pasos:

  • Instale el parche de Microsoft que cubre la vulnerabilidad MS08-067, MS08-068, MS09-001
  • Asegúrese de que la contraseña para la cuenta del administrador local no sea obvia y no pueda ser hackeado con facilidad - la contraseña deberá tener un mínimo de 6 letras; una combinación de mayúsculas y minúsculas, números y caracteres que no sean alfanuméricos tales como signos de puntuación.
  • Desactive la función de autorun de archivos ejecutables de unidades de disco extraíbles.

La utilidad KK.exe puede ser ejecutada de manera local en la PC infectada, o de forma remota con la ayuda del Kaspersky Administration Kit.

Para eliminar el virus localmente:

1. Descargue KK.exe en una carpeta en la PC infectada.

2. Ejecute el archivo KK.exe

Information Cuando el escaneo haya finalizado, puede aparecer una ventana activa de la línea de comandos en su monitor. Para minimizarla, presione cualquiera de las teclas. Para que la ventana de la línea de comandos se cierre automaticamente, se recomienda ejecutar la utilería KK.exe con el parámetro -y.

3. Espere hasta que se haya completado el escaneo.

Warning En caso de que el Agnitum Outpost Firewall esté instalado en la computadora dónde se inicia la utilidad KK.exe resulta obligatorio reiniciar su PC una vez que el trabajo de la utilidad haya terminado.

4. Realice un escaneo completo de su computadora con su Anti-Virus Kaspersky.

Para eliminar el virus vía el Administration Kit:

1. Descargue la utilidad KK.exe en una carpeta.

2. En la consola del Administration Kit cree un paquete de instalación para la aplicación KK.exe. En las configuraciones del paquete de instalación en el paso de Aplicación seleccione la variante Hacer paquete de Instalación para un Archivo Específico Ejecutable.

Information En el campo de la Línea de comando del archivo Ejecutable (opcional) defina el parámetro - y para cerrar la ventana de la consola automáticamente una vez que el trabajo de la utilidad haya acabado.

screen shot

3. Cree una tarea global o grupal para la instalación remota del paquete para computadoras designadas y ejecute la tarea.

Information La utilidad KK.exe puede ser ejecutada en todas las computadoras de su red.

Ejecute la tarea.

4. Una vez que la utilidad de trabajo haya acabado, escanee cada computadora de su red utilizando su Anti-Virus Kaspersky

Warning En caso de que el Agnitum Outpost Firewall haya sido instalado en la computadora dónde se inicia la utilidad KK.exe resulta obligatorio reiniciar su PC una vez que el trabajo de la utilidad haya terminado.

Para obtener más información sobre la utilidad, ejecute KK.exe con un parámetro adicional –help.

Switches para manejar la utilidad KK.exe desde la línea de comandos:

Switches Descripción
-p escanea una carpeta definida
-f escanea los discos duros
-n escanea los discos de red
-r escanea las unidades de disco extraíbles
-y termina el programa sin presionar ninguna tecla
-s modo silencioso (sin una ventana negra)
-l escribe la información dentro de un registro
-v mantenimiento extendido de registro (el switch -v funciona sólo si el switch -l se ejecuta en la línea de comandos)
-z restaurar servicios
  • Servicio de Transferencia Inteligente en Segundo Plano (BITS),
  • Servicio de Actualización Automatica de Windows (wuauserv),
  • Servicio de Reporte de Errores (ERSvc/WerSvc)
-? restaura imagen de los archivos ocultos del sistema
-a desactiva auto-start de todas las unidades de disco
-help enseña información adicional sobre la utilidad
-m modo para monitorear hilos de ejecución, tareas, servicios

Por ejemplo, para escanear un flash-drive y generar y escribir un reporte detallado dentro de un archivo de reporte.txt (el cual será creado en la carpeta de configuración de la utilería KK.exe), use el siguiente comando:

KKiller.exe -r -y -l report.txt -v