Que hacer en caso de una infección de algún código malicioso en su red local

Por: Karina Saavedra O.

A continuación le presentamos los pasos a seguir en caso de que su red se encuentre infectada por algún código malicioso como puede ser un gusano o troyano de Internet.

1. Desconectar la red local de Internet de manera inmediata.

2. Desconectar los servicios de red o bien bloquear los puertos que son utilizados el código. (Usted podrá encontrar la descripción competa de los diferentes virus asi como la forma de eliminarlos en las paginas de F-Secure o bien desde http://www.microasist.com.mx/noticias/nv/nv.shtml) También deberá de deshabilitar el compartir impresoras de red y archivos. Si esto no es posible o ya se ha detectado un código por F-Secure Antivirus, configure el rastreo en tiempo real de FSAV para desinfectar automáticamente en todas las computadoras. Esto protegerá a las pcs que están limpias de re-infectarse. De cualquier manera esta no es la forma ideal de hacerlo, ya que el código seguirá intentando dispersarse por la red. En caso de que utilice exploits (como LSASS) muchas computadoras en la red local se reiniciaran constantemente haciendo que la desinfección sea mas difícil.

3. Debe hacer un rastreo completo a todas las computadoras con F-Secure Anti-Virus con la ultima actualización de firmas. Si algunas estaciones de trabajo no tienen la ultima actualización,. Estos pueden descargarse desde:

http://www.f-secure.com/download-purchase/updates.shtml

Si F-Secure no esta detectando el código que tiene, por favor trate de localizar el archivo del código y enviarlo tan pronto sea posible al equipo de investigación de Virus de F-Secure o bien a muestras@microasist.com.mx. Usualmente los códigos maliciosos generan mucho trafico de red, ocupan una gran cantidad de recursos de sistema y se autoinstalan en el directorio de Windows o Windows System creando asimismo llaves en el registro de Windows para sus archivos. Si no le es posible encontrar el código malicioso, por favor envíe un mensaje a nuestro equipo de investigación describiendo el incidente de virus y pregunte por instrucciones en como localizar el código de virus.

Para algunos códigos maliciosos tenemos herramientas especiales para desinfectarlos de manera rápida y segura. Usted puede bajar estas herramientas de www.microasist.com.mx.

4. Es importante desinfectar todas las computadoras de su red. Se recomienda seleccionar la opción de desinfectar, en caso de que el archivo sea parte o el código del virus, y no existan nada que desinfectar, F-Secure renombrará el archivo para que este no se pierda. Antes de decidir borrar un archivo le recomendamos que excluya los archivos pst y dbx que son archivos de outlook, ya que de no hacerlo se corre el riesgo se perder todo el correo electrónico. Así también le recordamos que los rastreos se pueden mandar desde la consola para que no tenga que ir maquina por maquina.

5. Reinicie las maquinas limpias y borre los archivos renombrados. Se recomienda rastrear con F-Secure todas las computadoras aun aquellas que estén limpias, para asegurarse de que no queden archivos infectados.

6. Si se encontró archivos infectados en la carpeta de System restore, entonces esta opción debe de ser momentáneamente deshabilitada. Las instrucciones para hacer esto puede encontrarlas en www.microasist.com.mx.

7. El siguiente paso es instalar un firewall en el gateway o en todas las estaciones de trabajo. Si ya cuenta con un firewall debe de configurarlo para bloquear todos los puertos excepto por supuesto, los que utilice su red o los servicios de Internet mas como: el 80, 8080, 110, 25, entre otros.

8. Instale todos los parches de seguridad y service pack a las estaciones que no haya actualizado. Esto es muy importante para evitar re-infecciones futuras.

9. Si su red fue infectada con códigos que se dispersan por la red o que roban contraseñas, por favor cambie las contraseñas de todas las aplicaciones que tenga y asigne contraseñas de mayor seguridad (con números y letras) para los recursos compartidos de la red.

10. Re-connecte la red local y habilite la conexión de red, le recomendamos monitorear el trafico de la misma para asegurarse de que la infección a sido eliminada.