Alert Scan.Generic.Port.Scan.UDP [MOVIDO]

[egs]

Recibo estas alertas en equipos conectados a la misma red.  Sucede cuando se enciende el ordenador o se reinicia. He formateado y reinstalado el sistema operativo y sigue pasando. No sé qué es. Tengo antivirus Kaspesrky Internet Security en todos los odenadores.

Espero que puedan ayudarme. Gracias.

Alert Scan.Generic.Port.Scan.UDP   3070 3061

 

I receive these alerts on computers connected to the same network. It happens when the computer is turned on or rebooted. I have formatted and reinstalled the operating system and it is still happening. I do not know what it is. I have Kaspesrky Internet Security antivirus on all computers.

I hope you can help me. Thank you.

 

 

 

 

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

Comprueba de qué PC/dispositivo de tu red local son las IPs 192.168.1.120 y .101, ya que es de la que estás “aparentemente” recibiendo el ataque…

 

Saludos.

[egs]

Hola harlan4096, he formateado esos dos equipos y sigue apareciendo la alerta. En total son 3 equipos los que lanzan ese ataque.

192.168.1.101

192.168.1.102

192.168.1.120

Al mismo formatear uno de ellos, y reiniciarse para instalar actualizaciones, estaba atacando.

¿Algún consejo?

 

[harlan4096]

Sube informe GSI de ambos, seguramente hay alguna aplicación instalada que está generando “el ataque” o “Port Scanning”…

 

Genera GSI (getsysteminfo versión 6).

Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro anexo el archivo comprimido con el nombre GetSystemInfo_NOMBRE DEL PC_Usuario_Fecha_Hora.zip que está dentro del comprimido generado en el Escritorio):

 

https://support.kaspersky.com/sp/common/diagnostics/3632#block1

 

Baja el GetSystemInfo desde aquí: media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.exe

 

El informe comprimido resultante lo puedes subir a un servidor de archivos gratuito:

 

1.- Visita https://www.upload.ee/ /> 2.- Pulsa en: Choose file:[Browse] y selecciona el archivo zip recién generado por GetSystemInfo.exe, inicia la subida pulsando en [Upload].
3.- Cuando termine el proceso de subida, copia el primer enlace llamado "Direct Link:", para ello: haz 1 click con el botón izquierdo del ratón sobre la zona del enlace, una vez sobreiluminado, pulsa 1 click con el botón derecho del ratón y elige Copiar en el menú desplegable.
4.- Péganos en tu próximo mensaje del foro dicho enlace para proceder a su descarga.

 

Saludos.

[egs]

Aquí tengo el informe de ambos. ¿Dónde miro?

Muchas gracias.

 

https://www.upload.ee/files/11576975/GSI6_FV-MOST1_farmacia_04_27_2020_16_10_36.zip.html

 

https://www.upload.ee/files/11576986/GSI6_FV-CONTROLMED_farmacia_04_27_2020_16_29_16.zip.html

[harlan4096]

Espera que a que les eche un vistazo y ya te comento algo.

 

Saludos.

[Apolonio]

Espera que a que les eche un vistazo y ya te comento algo.

 

Saludos.

No suele pasar esto al usar programas p2p? siendo “falsos” ataques…..?

[egs]

Espera que a que les eche un vistazo y ya te comento algo.

 

Saludos.

No suele pasar esto al usar programas p2p? siendo “falsos” ataques…..?

 

No utilizo programas p2p, es una farmacia. Los programas que tiene instalados son los básicos para la dispensación. 

Gracias.

[harlan4096]

Sí, a veces suele pasar cuando estás usando un programa P2P y lo cierras, pero aún quedan conexiones remotas establecidas que siguen intentando conectar a tu sistema…

 

Saludos.

[harlan4096]

Informes GSI de lo sistemas PC1 y PC2.

 

En principio no veo nada sospechoso, veo que tienes instaladas aplicaciones específicas que no conozco de Farmacia, etc… pero no sé si las notificaciones del “ataque de red” te empiezan antes o después de instalarlas.

 

Veo que tienes una aplicación llamada ConSoft: https://www2.consoft.es/servicios/autoupdate/

 

Sólo una de las máquinas requerirá salida a internet

El sistema está diseñado para que una de las máquinas se encargue de toda la gestión de actualizaciones, interactuando con el WebService de Consoft, realizando las descargas de las nuevas versiones y distribuyéndolas al resto de puestos de trabajo de la farmacia.

 

Viendo cómo funciona esta aplicación me hacer pensar que quizás pueda ser la causante de que Kaspersky genere esas notificaciones 🤔

 

Saludos.

[egs]

Muchas gracias. El caso tenemos varias farmacias y las alertas solo aparecen en una. 

Consoft es el programa que descarga las actualizaciones de Farmatic, el programa de gestión de dispensaciones de las farmacias.

Voy a probar a apagar el switch y cambiaré los dos equipos completamente, es decir he comprado dos equipos nuevos.

[Guest #37]

Hola,

Ok, ya nos contarás, sino sería cuestión de crear una exclusión.

Saludos

[egs]

Esto tiene pinta de virus, ¿verdad?

Es una captura de pantalla de Wireshark, que detecta el tráfico de la red.

En ella puedo ver que desde la dirección 192.16.1.102 hace un escaneo de puertos desde el 300 hasta el 3100 a la dirección de broadcast 192.168.1.255

El caso es que Kaspersky solo detecta algunos, no los 100.

Me he puesto en contacto con el soporte técnico de Kaspersky, estoy haciendo todo lo que me dicen. Cando me digan algo lo pongo aquí.

Si se os ocurre algo, os agradezco lo que sea. Gracias.

 

[harlan4096]

El GSI de ese puesto, el que hace el escaneo, lo subiste ya el otro día imagino…

 

Saludos.

[egs]

Hola. Gracias a todos por el tiempo y la molestia de intentar ayudarme.

He descubierto el causante. Un programa que ejecutaba una función de búsqueda de un servidor de actualizaciones.

Muchas gracias a todos.

[harlan4096]

¿Puedes indicar qué programa era? gracias.

 

Saludos.

[egs]

Consoft Autoupdate, el programa que actualiza Farmatic, un gestor de ventas de farmacia.

[harlan4096]

Ajá, como comenté en mi post de hace 6 días, mi conjetura era cierta jeje

 

Me alegro :)

 

Saludos.