Descontaminación manual del win32-kido

							Descontaminación manual del Gusano de red Kido.ia (identificación según
denominación de Kaspersky Labs)

Requerimientos para revisar y descontaminar un sistema que está infectado:
I. Conocer una cuenta de usuario que sea miembro del grupo local Administradores, por
    ejemplo, Administrador.
II. Tener CD de ERD Commander o similar para, de ser necesario, iniciar el sistema desde una
    fuente distinta al disco duro.

1. Iniciar sesión con cuenta local Administrador.
2. Comprobar la existencia de un fichero con extensión .dll y un tamaño fijo de 161,977
   bytes (aproximadamente 160KBytes).
   Desde el Modo Comandos (cmd desde Inicio | Ejecutar):
   - cd \Windows\system32\
   - dir /ah                         Mostrar ficheros con atributos ocultos.
       Anotar nombre de fichero dll, que es aleatorio, con ese tamaño. Otras variantes de este
       gusano pueden asociarse a ficheros de tamaño parecido y extensión distinta (.exe, por
       ejemplo).
   - attrib fichero_dll              Mostrar todos los atributos del fichero.
       Comprobar que los atributos son de sistema (S), oculto (H) y solo lectura (R). De existir
       un fichero con tales características, el sistema está infectado.
3. Aplicar parche de Microsoft KB958644, publicado en boletín de seguridad MS08-67 y
   disponible en:
   http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
4. Editar llaves del Registro que apunten a dicho fichero dll.
   Desde el Editor del Registro (regedit desde Inicio | Ejecutar):
   3.1. Buscar y enfocar llave
         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost:
           - En Permisos: Agregar cuenta Administrador con permisos de Control total.
           - En dato netsvcs, en el panel derecho: Editar y anotar el último nombre, que es
               aleatorio, de la cadena de nombres de servicios que se muestra.
   3.2. Buscar y enfocar llave con nombre de servicio, usualmente a partir de
         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\, además de
         …\ControlSet001\Services y similares:
           - En Permisos: Agregar cuenta Administrador con permisos de Control total.
           - Si contiene dato, en panel derecho, cuyo valor muestra llamada a
               C:\Windows\system32\fichero_dll: Borrar llave. Además, borrar nombre de
               servicio en llave de 3.1.
   3.3. Buscar y enfocar llave
         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
           - Borrar dato, en el panel derecho, cuyo valor muestra llamada a
               C:\Windows\system32\fichero_dll.
4. Reiniciar PC.
5. Buscar fichero dll a partir de C:, además de \Windows\system32, usualmente en las
   carpetas:
   - \Archivos de Programa\Internet Explorer.
   - \Archivos de Programa\Movie Maker.
   - \Windows\Temp.
   - \Documents and Settings\cuenta_usuario\Configuración local\Archivos
       Temporales de Internet.
   Desde el Explorador, en Herramientas | Opciones de Carpeta | Ver: Desmarcar
   Utilizar Modo compartido simple de archivos (Recomendado).
   Desde el cmd y ubicado en cada una de esas carpetas:

                                                                                                   1
     - attrib –s –h –r –a fichero_dll               Cambiar atributos del fichero.
     - del fichero_dll         Borrar fichero.
6.   Desactivar la reproducción automática para todos los dispositivos de almacenamiento
     extraíbles:
     Guiarse por documento:
     http://www.segurmatica.cu/descargas/flash_cuidado.doc.
     En su defecto, modificar la Directiva de Grupo (gpedit.msc desde Inicio | Ejecutar):
     6.1. Buscar y enfocar opción
           Directiva de seguridad local | Configuración de equipo | Plantillas
           Administrativas | Sistema:
             - Abrir dato, en el panel derecho, Desactivar reproducción automática: Marcar
                 Habilitar y Todos los dispositivos.
     6.2. Recargar la Directiva de Grupo (gpupdate /force desde Inicio | Ejecutar).
7.   Comprobar que la descontaminación fue exitosa.
     Desde el cmd:
     - netstat –an 1
         Comprobar que no hay conexiones de SYN_SENT por el puerto 445 hacia direcciones IP
         remotas que sean distintas del controlador de dominio.
     Conectar USB flash limpia:
     - attrib letra_asignada_a_flash:
         Comprobar que no se copian a la misma los ficheros infectados (aquellos con atributos
         SHR). De haber estado infectada, borrar ficheros según punto 5.
8.   Habilitar servicios necesarios que hayan sido deshabilitados:
     Desde la Consola de Servicios (services.msc desde Inicio | Ejecutar): Configurar como
     Iniciado y Automático los servicios de interés que hayan sido deshabilitados, usualmente
     Actualizaciones automáticas y Centro de Seguridad de Microsoft, entre otros.
9.   Garantizar que se mantenga el software antivirus actualizado que identifique dicho código
     maligno (por ejemplo, bases antivirus de Segurmatica Antivirus y Kaspersky Labs).

De ser imposible o muy trabajoso ejecutar exitosamente los puntos 3 y 5 en modo normal de
trabajo o en modo seguro (F8 al inicio), reiniciar según requerimiento II.




                                                                                                 2