Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Cómo Eliminar El Gusano Net

    Enviado por

    Hans
    42 visualizações5 páginas

    Título original

    Cómo eliminar el gusano Net.docx

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    42 visualizações5 páginas

    Cómo Eliminar El Gusano Net

    Enviado por

    Hans

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 5

    Cómo eliminar el gusano Net-Worm.Win32.

    Kido (Conficker,
    Downadup)
    Esta sección explica los métodos de eliminación de malware complicado, cuando el usuario tiene que
    participar en el proceso de desinfección. Por ejemplo, cuando se requiere modificar el registro del sistema o
    ejecutar una herramienta especial. Si no ha encontrado la información buscada en esta sección, por favor
    someta una solicitud al Soporte Técnico de Kaspersky Lab.

    Cómo eliminar el gusano Net-Worm.Win32.Kido (Conficker,


    Downadup)

    ID Artículo: 1956 Otros idiomas: 304 18.06.2012 12:00

    Referente a:

     Kaspersky Internet Security 6.0/7.0/2009


     Kaspersky Anti-Virus 6.0/7.0/2009
     Kaspersky Anti-Virus 6.0 for Windows Workstations (MP1/MP2.MP3)
     Kaspersky Anti-Virus 6.0 for Windows Servers (MP1/MP2.MP3)
     Kaspersky Administration Kit 6.0 MP1/MP2

    El Servicio de Soporte Técnico informa que ha habido un aumento de llamadas entrantes referentes
    a la infección de las estaciones de trabajo y servidores Windows con el virus Net-Worm.Win32.Kido
    (aka Conficker, Downadup).

    Síntomas de infección de red

    Referencias útiles

    Posibles errores de
    activación de Kaspersky
    Anti-Virus versión 6.0 MP4

    Posibles problemas de
    activación

    1. El volumen de tráfico en la red aumenta si hay equipos infectados en la red de trabajo,


    porque los ataques de red empiezan desde esos equipos.
    2. El producto Anti-Virus con el Sistema de Detección de Intrusiones activado informa del
    ataque Intrusion.Win.NETAPI.buffer-overflow.exploit.
    3. Es imposible acceder a las páginas web de compañías de antivirus, tales como avira, avast,
    esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.
    4. Un intento de activar Kaspersky Anti-Virus o Kaspersky Internet Security con un código de
    activación en un equipo infectado con Net-Worm.Win32.Kido puede fallar con un de los
    siguientes errores:

    o El procedimiento de activación se completó con error de sistema 2.


    o Error de activación: El nombre del servidor no se puede resolver.
    o Error de activación: No es posible conectar al servidor.

    Si Kaspersky Anti-Virus o Kaspersky Internet Security siga reportando errores de activación


    mientras el equipo no esté infectado con Net-Worm.Win32.Kido, consulte el bloc de
    Referencias Útiles que contiene la descripción de errores de activación posibles.

    Breve descripción de la familia de Net-Worm.Win32.Kido

    1. Éste crea archivos autorun.inf y RECYCLED\{SID<....>}\RANDOM_NAME.vmx en discos


    externos (algunas veces en recursos de red compartidos)
    2. Se almacena en el sistema como un archivo DLL con un nombre aleatorio, por ejemplo,
    c:\windows\system32\zorizr.dll
    3. Se registra en los servicios del sistema con un nombre aleatorio, por ejemplo knqdgsm.
    4. EÉste intenta atacar los equipos de la red a través de los puertos TCP 445 o 139, usando
    la vulnerabilidad de Windows MS08-067.
    5. Intenta conectar a las siguientes páginas con el fin de aprender las direcciones IP externas
    de las máquinas infectadas

     http://www.getmyip.org
     http://getmyip.co.uk
     http://www.whatsmyipaddress.com
     http://www.whatismyip.org
     http://checkip.dyndns.org/

    Métodos de desinfección.

    Una utilidad especial KK.exe debería usarse para eliminar éste gusano. Los sistemas operatives MS
    Windows 95/MS Windows 98/MS Windows ME no pueden ser infectados por éste gusano.
    Para prevenir que todas las estaciones de trabajo y servidores de archivos sean infectados con el
    gusano, le recomendamos hacer lo siguiente:

     Instalar el parche de Microsoft que cubre la vulnerabilidad MS08-067, MS08-068, MS09-001


    (en estas páginas usted tiene que seleccionar el sistema operativo instalado en el equipo
    infectado, descargar el parche e instalarlo).
     Asegurarse de que la contraseña de la cuenta local no es obvia y no puede ser hackeada
    facilmente – la contraseña debería contener 6 letras como mínimo; use una mezcla entre
    mayúsculas y minúsculas, números y caracteres no alfanuméricos.
     Desactivar el inicio automático de los dispositivos extraibles por ejecutar la herramienta
    KK.exe con argumento -a

    o Para el sistema operativo Windows XP/Server : Inicio – Ejecutar – escriba


    kk.exe –a – pulse OK
    o Para el sistema operativo Windows Vista: Inicio – Todos los programas –
    Accesorios – Ejecutar – escriba kk.exe –a – pulse OK

     Bloquear el acceso a los puertos TCP 445 y 139 en el cortafuegos.

    Es necesario bloquear estos puertos unicamente mientras se hace la desinfección. Tan


    pronto como haya hecho la desinfeccioón puede liberar los puertos.
    La herramienta KidoKiller puede ser ejecutada localmente en la máquina infectada o remotamente
    por medio de Kaspersky Administration Kit.

    Ejecutando la herramienta desde la línea de comandos. . Abajo puede ver una lista de todos los
    comandos que pueden ser usados con la herramienta.

     Para acceder a la línea de comandos:

     Windows Vista: Inicio > Todos los programas > Accesorios > Ejecutar > escriba cmd y
    pulse Enter
     Windows XP/Server: Inicio > Ejecutar > escriba cmd y pulse enter

    Para ejecutar la utilidad KK.exe:

     Guardar la herramienta KK.exe en el disco C, por ejemplo.


     Ejecutar el archivo KK.exe especificando la ruta. Por ejemplo, si ha guardado la
    herramienta en el disco C, escriba el comando С:\KK.exe y pulse Intro.

    Para eliminar el virus localmente:

     Descargar el archivo kk.zip y extraer el contenido en una carpeta en el equipo infectado.


     Deshabilitar el componente Anti-Virus de archivos de Kaspersky Antivirus durante el
    escaneo por la herramienta si tiene una de las siguientes aplicaciones de Kaspersky
    instalada en el equipo infectado:
    o
    Kaspersky Internet Security 2009;
    o Kaspersky Anti-Virus 2009;
    o Kaspersky Internet Security 7.0;
    o Kaspersky Anti-Virus 7.0;
    o Kaspersky Internet Security 6.0;
    o Kaspersky Anti-Virus 6.0;
    o Kaspersky Anti-Virus 6.0 for Windows Workstations;
    o Kaspersky Anti-Virus 6.0 SOS;
    o Kaspersky Anti-Virus 6.0 for Windows Servers.

     Ejecutar el archivo KK.exe.

    Ejecutada sin argumentos, la herramienta termina la infección activa (elimina flujos, remueve
    intercepciones), escanea la memoria y las áreas críticas vulnerables a infecciones, limpia el
    registro y analiza los dispositivos flash.
    Es posible que la ventana de la consola se quede abierta después del escaneo. Pulse un
    botón para cerrarla. Para cerrar la consola automáticamente, ejecute la herramienta KK.exe
    con el argumento -y.

     Esperar el fin del análisis.

    Si Agnitum Outpost Firewall está instalado en el equipo donde está ejecutando la herramienta
    KK.exe, es obligatorio reiniciar el equipo después del análisis.

     Haga un análisis completo de su equipo con Kaspersky Antivirus.

    Para eliminar el virus a través de Administration Kit:


     Descargar el archivo kk.zip y extraer su contenido en una carpeta.
     En la Consola de administración crear un paquete de instalación para la aplicación
    KK.exe. En la configuración del paquete de instalación seleccionar la variante Crear un
    paquete de instalación para el archivo ejecutable especificado.

    En el campo Línea de comando de archivo ejecutable (opcional) definir el argumento –y


    para cerrar la ventana de la consola automáticamente cuando termine de trabajar la
    aplicación.

     Usar este paquete para crear una tarea de grupo o global de implementación de
    aplicaciones para los equipos infectados o sospechosos.

    Puede ejecutar la herramienta KK.exe en todos los equipos en su red corporativa.

     Por favor deshabilite el componente Antivirus de archivos de Kaspersky Antivirus de


    los equipos clientes para ejecutar la utilidad.

     Ejecutar la tarea

    Ejecutada desde Kaspersky Administration Kit, la herramienta será lanzada con los
    permisos de la cuenta SYSTEM. En éste caso no podrá acceder a ningunos volúmenes de
    red / carpetas compartidas. Si es necesario que la herramienta guarde logs a un volumen
    de red / una carpeta compartida, debe ser lanzada a través del comando Ejecutar como.
     Una vez que la herramienta ha terminado de trabajar, escanee cada equipo con Kaspersky
    Antivirus

    Si Agnitum Outpost Firewall está instalado en el equipo donde se está ejecutando la


    herramienta KK.exe, es obligatorio que reinicie el equipo cuando la utilidad haya terminado
    de analizar.
    En una red con dominio es importante desinfectar en primer lugar los controladores de dominio y los
    equipos donde están logeados usuarios de los grupos “administradores” y “administradores del
    dominio” en el dominio. En el caso contrario la desinfección no será efectiva porque todos los
    equipos del dominio seguirán infectándose cada 15 minutos.
    Los argumentos de la línea de comandos para ejecutar la herramienta kk.exe:
    -p <ruta> - escanear la carpeta especificada;
    -f – escanear los discos duros internos y externos;
    -n – escanear los volúmenes de red;
    -r – escanear los dispositivos flash;
    -y – cerrar la ventana de la herramienta al terminar;
    -s – escanear en “modo silencioso” (sin abrir la ventana de consola);
    -l <nombre_del_archivo> - guardar el archivo log;
    -v – guardar un log detallado (utilizar junto con el argumento -l);
    -z - restaurar šlos servicios BITS, wuauserv, šERSvc/WerSvc;
    -x – restaurar la posibilidad de mostrar los archivos ocultos y de sistema;
    -a – desactivar el inicio automático de todos los dispositivos;
    -j - restaurar la clave de registro SafeBoot (el equipo no se arranque en el modo seguro sin esta
    clave);
    -m – activar el modo de monitorización de flujos, tareas y servicios. En éste modo la herramienta
    reside en la memoria y periodicamente realiza un escaneo de flujos, servicios, tareas del
    planificador. Al detectar una infección realizará una desinfección y proseguirá con la monitorización;
    -help – recibir la información detallada sobre la herramienta.
    Por ejemplo, para escanear un dispositivo flash y guardar un log detallado al archivo report.txt (se
    crea dentro de la carpeta con el archivo kk.exe):
    kk.exe -r -y -l report.txt -v
    para escanear un otro disco o una partición, por ejemplo D:
    kk.exe -p D:\
    A partir de la versión 3.4.6, la herramienta KidoKiller devuelve los siguientes códigos
    (%errorlevel%):
    3 – Encontrado y eliminado unos flujos maliciosos (el gusano estaba activo).
    2 – Encontrado y eliminado unos archivos maliciosos (el gusano estaba inactivo).
    1 – Encontrado y eliminado unas tareas maliciosas del planificador o funciones interceptadas (éste
    PC no está infectado pero la red puede contener equipos infectados).
    0 – No se encontró nada.

    Você também pode gostar