Con frecuencia, muchos centros tienen recursos compartidos abiertos en sus servidores con acceso ilimitado para todos los usuarios. El propósito es ofrecer un área universal en la que todos los usuarios puedan intercambiar archivos e información en común. También pueden darse otras situaciones en las que los recursos compartidos estén abiertos debido a una falta de planificación y seguridad, y no por motivos comunes.
Cualquiera que sea el motivo, este tipo de recurso compartido está muy expuesto a virus tales como Pinfi o Funlove cuyos objetivos de contagio son los recursos compartidos abiertos.

Por ejemplo, una situación de contagio de recurso compartido puede ser la siguiente: 

Esta figura representa una estación de trabajo (IP: 192.168.0.13) que puede ejecutar un archivo infectado con el virus Pinfi. La estación de trabajo infectada propagará recursos compartidos abiertos a los equipos de la red, buscará archivos con extensión .exe y .scr en esos recursos e intentará infectar a estos archivos.

No obstante, en este caso todos los servidores están protegidos con software antivirus actualizado que controla el sistema de archivos de cada servidor. Cualquier intento de contagio será detectado y los archivos infectados se limpiarán en el momento.

Sin embargo, el problema radica en que la estación de trabajo sigue infectada y contagiará de nuevo a todos los archivos .exe y .scr una vez que el programa antivirus haya realizado el primer proceso de limpieza. Nos encontramos, pues, con un ciclo de infección-limpieza-infección que continuará indefinidamente a menos que se solucione el problema del contagio original: la estación de trabajo infectada.

Búsqueda del origen del problema 

En una gran red compuesta por cientos, o incluso miles de ordenadores, puede resultar realmente difícil encontrar una estación en concreto. Normalmente, el mensaje de alerta de virus indica el archivo infectado, el virus encontrado y lo que se debe hacer con el archivo. Evidentemente se precisa más información para resolver el problema.

Una manera de solucionarlo es utilizar una herramienta externa para controlar un archivo que probablemente esté infectado. Para evitar demasiados cambios en los servidores originales, se recomienda instalar un ordenador de prueba en la red, crear un recurso compartido abierto y dejar una copia del archivo .exe en él. En el caso de Pinfi, sabemos que los archivos .exe son objetivos probables de contagio y copiamos el archivo calc.exe del directorio Windows en el nuevo recurso compartido. De este modo, el archivo calc.exe se convierte en un "cebo" para el agente de contagio.

No obstante, antes de conectar el equipo “cebo" a la red, se debe instalar un programa “husmeador". Wireshark es una buena opción dado que se puede descargar gratuitamente, pero otros programas como Sniffer Pro y Etherpeek sirven igualmente. Wireshark contiene muchas funciones, así que sólo nos referiremos a aquellas que sirvan para solucionar el problema que nos atañe.

Instalación de Wireshark

Necesitará dos componentes: 

1. Instale y ejecute el controlador de WinPCap que puede descargar de winpcap.polito.it 
2. Instale y ejecute Wireshark (solo disponible en inglés) que puede descargar de http://www.wireshark.org/

NOTA: Aunque nuestra experiencia con Wireshark es buena, no ofrecemos asistencia para esta aplicación y por tanto se utiliza bajo la responsabilidad del usuario.

Control de la actividad de la red 

Una vez que haya instalado Wireshark, asegúrese de que en su ordenador esté ejecutándose el analizador permanente de NVC e inicie el programa NVC Utilities donde abre la ventana Messages (Mensajes).

Antes de comenzar a analizar el archivo, compruebe si se contagia observando las alertas de virus en la ventana Messages. Si no aparecen alertas de virus, el cebo no funciona. Compruebe de nuevo si el directorio que contiene el cebo está realmente compartido y que todos los usuarios tengan pleno acceso al recurso compartido.

Comprobación de que Pinfi ha infectado el cebo del recurso compartido

Si sigue sin funcionar, quizás sea necesario instalar Wireshark en el servidor en el que apareció inicialmente la infección. Algunos agentes de contagio solamente infectan recursos compartidos que estaban disponibles al iniciar el programa infectado. En ese caso, busque aquí un archivo que sirva como cebo de la infección.

Ahora inicie Wireshark. Hemos de captar la actividad que el equipo recibe a través de la red, pero centrándonos solamente en la actividad relacionada con el cebo, que es el archivo de prueba calc.exe.

Wireshark en acción

En la esquina inferior izquierda hay un campo llamado Filter (Filtro): Escriba en él la cadena:

smb.file contains “calc.exe"

Seleccione el comando Capture/Start (Capturar/Iniciar) y pulse OK (Aceptar). Se abre la ventana de captura. A partir de ahora, observe la actividad en la ventana Messages de NVC Utilities. En cuanto aparezca una nueva infección en el cebo, cierre la ventana de captura de Wireshark. En la ventana principal aparece el registro de captura. Pulse Apply (Aplicar) para asegurarse de que el filtro está activo.

En las columnas de “Source" (Origen) y “Destination" (Destino), deberían aparecer las direcciones de IP utilizadas en la manipulación del archivo calc.exe. En nuestro caso, la dirección local de nuestro equipo es 192.168.0.15. La otra dirección de IP utilizada en las operaciones es 192.168.0.13.

Evidentemente, el agente de contagio es un equipo con la dirección 192.168.0.13. Para solucionar el problema, aíslelo y realice un análisis completo a medida, que se suministra con las correcciones correspondientes.

Repita el proceso para asegurarse de que no quedan agentes de contagio en la red.