Kaspersky Internet Security 2009

• Kaspersky Internet Security 6.0/7.0/2009
• Kaspersky Anti-Virus 6.0/7.0/2009
• Kaspersky Anti-Virus 6.0 for Windows Workstations (todas las versiones)
• Kaspersky Anti-Virus 6.0 for Windows Servers (todas las versiones)
• Kaspersky Administration Kit 6.0 MP1/MP2

Al Servicio de Soporte Técnico le gustaría informar a los clientes de Kaspersky Lab que ha habido un aumento de llamadas entrantes referentes a la infección de las estaciones de trabajo y servidores windows con el virus Net-Worm.Win32.Kido (aka Conficker, Downadup).

Síntomas de infección de red

1. El volumen de tráfico en la red aumenta si hay equipos infectados en la red de trabajo, porque los ataques de red empiezan desde esos equipos.
2. El producto Anti-Virus con el Sistema de Detección de Intrusiones activado informa del ataque Intrusion.Win.NETAPI.buffer-overflow.exploit
3. Es imposible acceder a páginas webs mayoritariamente de compañías de antivirus, por ejemplo avira, avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc. 
4. Un intento de activar Kaspersky Anti-Virus o Kaspersky Internet Security con un código de activación en un equipo infectado con Net-Worm.Win32.Kido puede terminar en resultado no satisfactorio y dar uno de los siguientes errores:

• El procedimiento de activación se completó con error de sistema 2.
• Error de activación: El nombre del servidor no se puede resolver.
• Error de activación: No es posible conectar al servidor.

Breve descripción de la familia de Net-Worm.Win32.Kido

1. Este crea archivos autorun.inf y RECYCLED\{SID<....>}\RANDOM_NAME.vmx en discos externos (algunas veces en recursos de red compartidos)
2. Se almacena el mismo en el sistema como un archivo DLL con un nombre aleatorio, por ejemplo, c:\windows\system32\zorizr.dll
3. Se registra el mismo en los servicios del sistema con un nombre aleatorio, por ejemplo knqdgsm.
4. Este intenta atacar los equipos de la red a través de los puertos TCP 445 o 139, usando la vulnerabilidad de Windows MS08-067.
5. Intenta conectar a los siguientes sitios con el fin de aprender las direcciones IP externas de las máquinas infectadas

• http://www.getmyip.org
• http://getmyip.co.uk
• http://www.whatsmyipaddress.com
• http://www.whatismyip.org
• http://checkip.dyndns.org/

Métodos de desinfección.
 

Una utilidad especial KK.exe debería usarse para eliminar este gusano. Los sistemas operatives MS Windows 95/MS Windows 98/MS Windows ME no pueden ser infectados por este gusano.

Para prevenir que todas las estaciones de trabajo y servidores de archivos sean infectados con el gusano, le recomendamos hacer lo siguiente:

• Instalar el parche de Microsoft que cubre la vulnerabilidad MS08-067, MS08-068, MS09-001 (en estas páginas usted tiene que seleccionar el sistema operativo instalado en el equipo infectado, descargar el parche e instalarlo).
• Asegúsere de que la contraseña de la cuenta local no es obvia y no puede ser hackeada facilmente – la contraseña debería contener 6 letras como mínimo; use una mezcla entre mayúsculas y minúsculas, números y caracteres no alfanuméricos.
• Desactiva el autorun de los discos extraibles ejecutando la utilidad KK.exe con -a
  • Para el sistema operativo Windows XP/Server : Inicio – Ejecutar – escriba kk.exe –a – pulse OK
  • Para el sistema operativo Windows Vista: Inicio – Todos los programas – Accesorios – Ejecutar – Escriba kk.exe –a – pulse OK
• Bloquee el acceso a los puertos TCP 445 y 139 usando un monitor de red.

Usted necesita bloquear estos puertos unicamente mientras se hace la desinfección. Tan pronto como haya hecho la desinfeccioón puede liberar los puertos.

La utilidad KK.exe puede ser ejecutada localmente en la máquina infectada o remotamente con la ayuda de Kaspersky Administration Kit.

Ejecutando la utilidad vía línea de comandos. . En la tabla de debajo usted puede ver una lista de todos los comandos que pueden ser usados con la utilidad.

• Para acceder a la línea de comandos:

• Windows Vista: Inicio > Todos los programas > Accesorios > Ejecutar > escriba cmd y pulse Enter
• Windows XP/Server: Inicio > Ejecutar > escriba cmd y pulse enter

Para ejecutar la utilidad KK.exe:

• Guarde la herramienta KK.exe en el disco C, por ejemplo.
• Usted tiene especificar la localización de KK.exe con el fin de ejecutarla.Por ejemplo si usted ha guardado la utilidad en el disco C, usted tiene que escribir el comando "С:\KK.exe" y pulsar Enter.

Para eliminar el virus localmente:

• Descargue el archivo KK.zip (la versión actual de la herraienta es 3.4.9)  y extraer el contenido en una carpeta en el equipo infectado.
• Si usted tiene una de las siguientes aplicaciones de Kaspersky instaladas en el equipo infectado:
  • Kaspersky Internet Security 2009;
  • Kaspersky Anti-Virus 2009;
  • Kaspersky Internet Security 7.0;
  • Kaspersky Anti-Virus 7.0;
  • Kaspersky Internet Security 6.0;
  • Kaspersky Anti-Virus 6.0; 
  • Kaspersky Anti-Virus 6.0 for Windows Workstations;
  • Kaspersky Anti-Virus 6.0 SOS;
  • Kaspersky Anti-Virus 6.0 for Windows Servers.

Por favor deshabilite el componente Antivirus de archivos de Kaspersky Antivirus durante el escaneo de la herramienta. Ejecute kk.exe

• Ejecute el archivo KK.exe.

Si usted ejecuta el archivo KK.exe si ningún parámetro, la utilidad pondrá fin a la infección active, hacienda un análisis de memoria y analizando las áreas críticas vulnerables a infecciones, limpiará el registro y analizará las memorias extraíbles.

Cuando se está realizando el análisis estará activa una ventana del símbolo del sistema, con el fin de minimizar la ventana pulse cualquier botón. Para que la ventana se cierre automáticamente se recomienda ejecutar la herramienta KK.exe con el parámetro -y

• Espere mientras se completa el análisis..

Si Agnitum Outpost Firewall está instalado en el equipo donde se está ejecutando la herramienta KK.exe, es obligatorio que reinicie el equipo cuando la utilidad haya terminado de analizar.

• Haga un análisis complete de su equipo con Kaspersky Antivirus

Para eliminar el virus a través del Administration Kit:

• Descargue el archivo con la utilidad kk.zip(la versión actual es 3.4.8) y extraiga el contenido en una carpeta.
• En la Consola de administración cree un paquete de instalación para la aplicación KK.exe. En la configuración del paquete de instalación seleccione la variante Hacer un paquete de instalación para un archivo ejecutable específico.

En el campo Linea de comando de archivo ejecutable (opcional) defina el parámetro –y para cerrar la ventana de la consola automáticamente cuando termine de trabajar la aplicación.

• Use este paquete para crear un grupo o una tarea de implementación de aplicaciones para los equipos infectados o sospechosos.

Usted puede ejecutar la herramienta KK.exe en todos los equipos en su red corporativa.

• Por favor deshabilite el componente Antivirus de archivos de Kaspersky Antivirus de los equipos clientes para ejecutar la utilidad.
• Empiece la tarea
• Una vez que la herramienta ha terminado de trabajar, escanee cada equipo con Kaspersky Antivirus

Si Agnitum Outpost Firewall está instalado en el equipo donde se está ejecutando la herramienta KK.exe, es obligatorio que reinicie el equipo cuando la utilidad haya terminado de analizar.

Para obtener información adicional sobre la utilidad, ejecute KK.exe con el parámetro adicional -help

En una red dominio es importante desinfectar en primer lugar el dominio y los equipos que son logados desde los grupos “administradores” y “administradores del dominio” en el dominio

Ejecutando la versión 3.4.11 de KK.exe se devuelven los siguientes códigos (%nivelerror%)
3 – Amenazas maliciosas que fueron encontradas y matadas (el gusano estaba activo)
2 – Archivos maliciosos fueron encontradas y borrados (el gusano estaba inactivo).
1 – Trabajos maliciosos programados fueron detectados. (este PC no está infectado pero la red puede contener equipos infectados)
0 – No se encontró nada.