VIRUS KIDO

20 de enero de 2009 - 16:27 - INFORMACION SOBRE VIRUS Y DEMAS

Downandup, también conocido com Conficker o Kido, es un gusano que se propaga a través de redes con bajo nivel de seguridad, en soportes de memoria y ordenadores sin las últimas actualizaciones de seguridad.

El virus se difunde a través de una vulnerabilidad de Windows Server, al que se conectan los sistemas operativos Vista, XP y 2000. Desde que fue identificado por primera vez en octubre del año pasado, su progresión parece imparable.

La compañía de seguridad F-Secure calculaba el pasado viernes en casi 9 millones el número de PCs infectados. Sólo cuatro días antes la cifra era de 2,4 millones, lo que demuestra la rapidez con que se expande Downandup.

Y eso con una previsión conservadora, ya que la cifra real de ordenadores infectados podría ser mucho mayor. Los expertos en seguridad recomiendan la instalación del parche MS08-067 de Microsoft para reparar sus efectos.

El virus actúa buscando un archivo ejecutable de Windows denominado “services.exe”, y se copia a sí mismo como un archivo con la extensión “.dll” y un nombre de 5 a 8 caracteres. Después es capaz de modificar el Registro de Windows, que controla algunas funciones clave de éste.

Una vez que el virus está instalando y funcionando, crea un servidor http, resetea el sistema de recuperación del PC (complicando la recuperación del ordenador infectado), y descarga archivos del servidor.

Algunas formas del malware descargan archivos desde un grupo de servidores o webs, por lo que es fácil localizarlas y controlarlas. Pero en el caso de Downandup el funcionamiento es más complejo.

Y es que su peculiaridad consiste en un complejo algoritmo que crea cientos de dominios diferentes cada día (como mphtfrxs.net, imctaef.cc o hcweu.org), por lo que es prácticamente imposible controlar desde donde se descarga los archivos.

Otra firma de seguridad, Trend Micro, cree que detrás de este ataque se esconde un grupo criminal que crea botnets, o redes de ordenadores controlados a distancia. Según Trend Micro, se trata de una amenaza híbrida que combina técnicas antiguas con nuevos métodos, y puede ser el primer paso en la creación de na red masiva de PCs zombi.

FUENTE:

http://www.baquia.com/noticias.php?id=14510&tit=El_virus_Downandup_infecta_ya_a_m%C3%A1s_de_10_millones_de_PCs

Herramientas para la eliminación del virus Kido Net-Worm.Win32.Kido

Contexto: herramienientas especificas para la eliminacion del virus conocido como KIDO, es sus distintas variantes.

Producto para afectados: Internet Security 2009 (v8), Antivirus 2009 (v8), Kapersky Internet security 7, Kapersky Anti-virus 7

Esta herramienta está recomendada para personas que han detectado el virus conocido como Kido según las bases de datos de Kaspersky Lab. Debido a las diversas variantes del virus y hasta que se vayan incorporando a la gama de productos KAV y KIS se ofrece una herramienta para limpieza de infecciones producidas por este virus.

La herramienta puede ser descargada desde la página web

El proceso de ejecución de la herramienta es el siguiente:

1º Bajar la herramienta desde el enlace y guardar.

2º Crear una carpeta en la unidad C: llamada por ejemplo "SCAN"

3º Descomprimir el archivo klwk.zip en la carpeta ya creada "SCAN"

4º En sistemas Windows XP ir al botón Inicio y seleccionar "Ejecutar"

5º En la nueva ventana escribimos "cmd"

6º Nos aparece el terminal de Windows con la siguiente dirección en espera de introducir comandos "c:Documents and SettingsNombre usuario>"

7º Vamos al directorio raíz con "cd " y a contracción entramos en el directorio con "cd SCAN"

8º klwk.com /s

A continuación se describen unos parámetros adicionales que se pueden añadir a la línea de ejecución de la herramienta.

klwk.com parámetros

/s - forzar el escaneo de los discos duros. El programa escaneara los discos duros para búsqueda de infección en cualquier caso.
/n - forzar el escaneo de las unidades de red mapeadas.
/path - fuerza el escaneo con la ruta especificada.
/y - finaliza el programa sin presionar ninguna tecla.
/i - mostar información de la línea de comandos.
/nr - no reiniciar el sistema automáticamente en cualquier caso.
/Rpt[a][o][=] - crear un archivo de reporte
a - añadir archivo de reporte
o - solo reportar (no curar/borrar archivos infectados)

La descarga de la herramienta esta disponible aqui.

El proceso durara un tiempo y al final del proceso reiniciaremos la máquina y efectuaremos una limpieza del registro para eliminar cualquier rastro que haya podido dejar el virus.

La segunda opción y más efectiva aun es utilizar la herramienta creada especificamente para las variantes de Kido llamada KidoKiller ademas incluye las modificaciones .ih

El uso de la herramienta sigue un procedimiento analogo a los pasos mecionados para la herramienta klwk hasta el punto nº7 y en el

8º paso ejecutamos lo siguiente:

KidoKiller.exe -p %windir%system32

La herramienta se puede descargar del siguiente enlace

Fuente: http://kb.kaspersky.es/article/homeuser/2487.html

2 comentarios

Sagitarioxp - 25 de febrero de 2009 - 17:01

Muchas gracias Jesus. Espero que toda la informacion que vamos colgando en el blog os sea de gran utilidad. Recuerda que cualquier duda que puedas tener, solo con dejar un nuevo comentario haremos lo posible para ayudarte :-) un abrazo.

JESUS - 06 de febrero de 2009 - 03:10

Me ha sido muy util la informacion que se encuentra en tu blog. Muchisimas felicidades por tu trabajo y animo para continuar. Jesus.