Cmo eliminar el gusano Net-Worm.Win32.

Kido
(Conficker, Downadup)
Esta seccin explica los mtodos de eliminacin de malware complicado, cuando el usuario tiene que
participar en el proceso de desinfeccin. Por ejemplo, cuando se requiere modificar el registro del sistema o
ejecutar una herramienta especial. Si no ha encontrado la informacin buscada en esta seccin, por favor
someta una solicitud al Soporte Tcnico de Kaspersky Lab.

Cmo eliminar el gusano Net-Worm.Win32.Kido

(Conficker, Downadup)
ID Artculo:
1956

Otros idiomas:

304

18.06.2012
12:00

Referente a:

Kaspersky Internet Security 6.0/7.0/2009

Kaspersky Anti-Virus 6.0/7.0/2009

Kaspersky Anti-Virus 6.0 for Windows Workstations (MP1/MP2.MP3)

Kaspersky Anti-Virus 6.0 for Windows Servers (MP1/MP2.MP3)

Kaspersky Administration Kit 6.0 MP1/MP2

El Servicio de Soporte Tcnico informa que ha habido un aumento de llamadas entrantes

referentes a la infeccin de las estaciones de trabajo y servidores Windows con el virus NetWorm.Win32.Kido (aka Conficker, Downadup).

Sntomas de infeccin de red

Referencias
tiles

Posibles errores de
activacin de Kaspersky
Anti-Virus versin 6.0 MP4
Posibles problemas de
activacin

1.

El volumen de trfico en la red aumenta si hay equipos infectados en la red de trabajo,

porque los ataques de red empiezan desde esos equipos.

2.

El producto Anti-Virus con el Sistema de Deteccin de Intrusiones activado informa del

ataque Intrusion.Win.NETAPI.buffer-overflow.exploit.

3.

Es imposible acceder a las pginas web de compaas de antivirus, tales como avira,
avast, esafe, drweb, eset, nod32, f-secure, panda, kaspersky, etc.

4.

Un intento de activar Kaspersky Anti-Virus o Kaspersky Internet Security con un cdigo

de activacin en un equipo infectado con Net-Worm.Win32.Kido puede fallar con un de
los siguientes errores:
o

El procedimiento de activacin se complet con error de sistema 2.

Error de activacin: El nombre del servidor no se puede resolver.

Error de activacin: No es posible conectar al servidor.

Si Kaspersky Anti-Virus o Kaspersky Internet Security siga reportando errores de activacin

mientras el equipo no est infectado con Net-Worm.Win32.Kido, consulte el bloc de Referencias
tiles que contiene la descripcin de errores de activacin posibles.

Breve descripcin de la familia de Net-Worm.Win32.Kido

1.

ste crea archivos autorun.inf y RECYCLED\{SID<....>}\RANDOM_NAME.vmx en

discos externos (algunas veces en recursos de red compartidos)

2.

Se almacena en el sistema como un archivo DLL con un nombre aleatorio, por ejemplo,
c:\windows\system32\zorizr.dll

3.

Se registra en los servicios del sistema con un nombre aleatorio, por ejemplo knqdgsm.

4.

Este intenta atacar los equipos de la red a travs de los puertos TCP 445 o 139,
usando la vulnerabilidad de Windows MS08-067.

5.

Intenta conectar a las siguientes pginas con el fin de aprender las direcciones IP
externas de las mquinas infectadas

http://www.getmyip.org

http://getmyip.co.uk

http://www.whatsmyipaddress.com

http://www.whatismyip.org

http://checkip.dyndns.org/

Mtodos de desinfeccin.
Una utilidad especial KK.exe debera usarse para eliminar ste gusano. Los sistemas operatives
MS Windows 95/MS Windows 98/MS Windows ME no pueden ser infectados por ste gusano.
Para prevenir que todas las estaciones de trabajo y servidores de archivos sean infectados con el

En una red con dominio es importante desinfectar en primer lugar los controladores de dominio y
los equipos donde estn logeados usuarios de los grupos administradores y administradores
del dominio en el dominio. En el caso contrario la desinfeccin no ser efectiva porque todos los
equipos del dominio seguirn infectndose cada 15 minutos.
Los argumentos de la lnea de comandos para ejecutar la herramienta kk.exe:
-p <ruta> - escanear la carpeta especificada;
-f escanear los discos duros internos y externos;
-n escanear los volmenes de red;
-r escanear los dispositivos flash;
-y cerrar la ventana de la herramienta al terminar;
-s escanear en modo silencioso (sin abrir la ventana de consola);
-l <nombre_del_archivo> - guardar el archivo log;
-v guardar un log detallado (utilizar junto con el argumento -l);
-z - restaurar los servicios BITS, wuauserv, ERSvc/WerSvc;
-x restaurar la posibilidad de mostrar los archivos ocultos y de sistema;
-a desactivar el inicio automtico de todos los dispositivos;
-j - restaurar la clave de registro SafeBoot (el equipo no se arranque en el modo seguro sin esta
clave);
-m activar el modo de monitorizacin de flujos, tareas y servicios. En ste modo la herramienta
reside en la memoria y periodicamente realiza un escaneo de flujos, servicios, tareas del
planificador. Al detectar una infeccin realizar una desinfeccin y proseguir con la
monitorizacin;
-help recibir la informacin detallada sobre la herramienta.
Por ejemplo, para escanear un dispositivo flash y guardar un log detallado al archivo report.txt
(se crea dentro de la carpeta con el archivo kk.exe):
kk.exe -r -y -l report.txt -v
para escanear un otro disco o una particin, por ejemplo D:
kk.exe -p D:\
A partir de la versin 3.4.6, la herramienta KidoKiller devuelve los siguientes cdigos (%errorlevel
%):
3 Encontrado y eliminado unos flujos maliciosos (el gusano estaba activo).
2 Encontrado y eliminado unos archivos maliciosos (el gusano estaba inactivo).
1 Encontrado y eliminado unas tareas maliciosas del planificador o funciones interceptadas
(ste PC no est infectado pero la red puede contener equipos infectados).
0 No se encontr nada.