Gusano Kido y Wireshark

Los virus, gusanos y demás son un problema nefasto una vez que caemos en las garras de uno, es común encontrar tantas fallas como soluciones existentes para estos enemigos informáticos enfocados hacia el sistema operativo mas popular del mundo: Windows.

A pesar de que Windows es un sistema con muchas fallas y virtudes, debemos reconocer que la gran mayoría de las veces el que un equipo se vea afectado por problemas de virus es por falta de actualizaciones del propio sistema, antivirus desactualizado o ausencia del mismo y la mas posible de las causas; descuido del usuario.

Si un virus o gusano se mete en tu computadora personal puede ser una tragedia, ahora si un virus logra afectar a la red de una empresa esto se traduce muchas veces en una sola cosa: perdida de dinero.

Formas de prevención hay muchas pero si por alguna razón el problema ya lo tienes encima ya sea por que tus sistemas no estaban actualizados con los parches de Microsoft para evitar esta vulnerabilidad (MS08-067, MS08-068, MS09-001) o por algún descuido en el manejo de tu antivirus, lo único que queda es actuar rápido y con algo de paciencia.

En este caso que presento a continuación despues de verificar varios equipos en la red que se encontraban infectados, y para saber en concreto que maquinas estaban propagando el virus y para dar un ejemplo util de utilización de Wireshark nos pusimos a capturar todos los paquetes en un determinado equipo y a esperar que el antivirus reportara una posible infección para verificar desde que equipo se habia originado la misma, obviamente que al ser un gusano este se encuentra por toda la red y la infección pude venir de cualquier dirección IP, sin embargo esta puede ser una manera rápida de identificar ciertos equipos y neutralizarlos rápidamente.

La alimaña en concreto es un gusano llamado Net-Worm.Win32.Kido.ih que utiliza las direcciones IP de los equipos registrados en “Mis sitios de red” para seguir propagandose, en la imagen adjunta vemos exactamente como es infectado el equipo en cuestion pero afortunadamente nuestro antivirus detecta y elimina a tiempo el gusano. Un bocado interesante para este gusano puede ser por ejemplo un servidor Windows con Active Directory, ya que toda maquina en dominio o al ingresar a este automáticamente sera infectada.

Capturando los paquetes.

Obviamente no es buena forma estar esperando equipo por equipo a que se presente algún registro que nos permita actuar, si cuentas con un sistema de administración centralizada de un antivirus lo mejor es atacar desde ahi para lanzar actualizaciones y metodos de desinfección para todos tus equipos registrados, Kaspersky cuenta con una herramienta para tal situación llamada KK (Kido Killer) que es exactamente lo que necesitas para eliminar este gusano.

Información del gusano en cuestión desde Viruslist. Link.
Metodos para la desinfección de tus equipos ya sea de manera local o mediante la consola de administración desde el sitio de Kaspersky. Link.

A pesar de todo es fascinante la manera en que estos programas se replican por toda la red aunque nosotros al menos ya estamos controlando la invasión.

One Comment

  1. Reply
    Ricardo June 7, 2012

    Muy ingeniero, gracias or compatir este issu y su solución =)

Leave a Reply

Your email address will not be published. Required fields are marked *