• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Preguntas y respuestas sobre el gusano "Conficker"

    Conficker es el gusano que mayor difusión ha tenido en los últimos doce meses. A continuación, podrás encontrar las respuestas a las preguntas de mayor importancia: �Cuál es el grado de peligrosidad real de Conficker? ...

          
    1. #1
      Usuario Avatar de Velcro
      Registrado
      ene 2008
      Ubicación
      Donde me plazca
      Mensajes
      982

      Atención Preguntas y respuestas sobre el gusano "Conficker"



      Conficker es el gusano que mayor difusión ha tenido en los últimos doce meses. A continuación, podrás encontrar las respuestas a las preguntas de mayor importancia:

      �Cuál es el grado de peligrosidad real de Conficker?

      Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial.

      El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

      Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.

      Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conficker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

      La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar "listas para la batalla", y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

      ¿Cuántos ordenadores han sido infectados?

      Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.


      ¿Cómo protegerse?

      El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota cuando lo encuentra, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.

      Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como "12345" o "admin" no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aún así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.

      OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

      ¿Cómo saber si Conficker ha infectado un ordenador?

      Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

      Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:


      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

      Services\ [Random name for the service]

      Image Path = "%System Root%\system32\svchost.exe -k netsvcs"

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

      Services\[Random name for the service]\Parameters

      ServiceDll = "[Path and filename of the malware]"

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

      Windows NT\CurrentVersion\SvcHost



      También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:


      • Windows Security Center

      • Windows AutoUpdate

      • Windows Defender

      • Error Reporting Service



      Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:


      "virus", "spyware", "malware", "rootkit", "defender", "microsoft",

      "symantec", "norton", "mcafee", "trendmicro", "sophos", "panda",

      "etrust", "networkassociates", "computerassociates", "f-secure",

      "kaspersky", "jotti", "f-prot", "nod32", "eset", "grisoft",

      "drweb", "centralcommand", "ahnlab", "esafe", "avast", "avira",

      "quickheal", "comodo", "clamav", "ewido", "fortinet", "gdata",

      "hacksoft", "hauri", "ikarus", "k7computing", "norman", "pctools",

      "prevx", "rising", "securecomputing", "sunbelt", "emsisoft",

      "arcabit", "cpsecure", "spamhaus", "castle"wilderssecurity", "windowsupdate"



      Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:


      • checkip.dyndns.org

      • getmyip.co.uk

      • www.getmyip.org



      En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:


      ask.com

      • baidu.com

      • google.com

      • msn.com

      • www.w3.org

      • yahoo.com



      Los ordenadores que accedan a estos dominios pueden estar infectados.


      ¿Cómo deshacerse de Conficker?

      A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

      Guia para la desinfección manual en español

      Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus ó a la última versión de MSRT ("Malicious Software Removal Tool") ó tambien a otras dos herramientas gratuitas para eliminar este peligroso gusano como son Symantec W32.Downadup Removal Tool y F-SECURE Malware Removal Tool (Para Conficker).

      Descarga de MSRT "Malicious Sofware Removal Tool

      Descarga de Symantec W32.Downadup Removal Tool(Conficker)

      F-SECURE Malware Removal Tool (Para Conficker)

      Downadup Removal Tool - BitDefender


      Fuente
      Última edición por Velcro fecha: 17/03/09 a las 10:07:21 Razón: agregar enlace

    2. #2
      Moderador
      Avatar de @JFNoda
      Registrado
      sep 2008
      Ubicación
      Islas Canarias
      Mensajes
      5.872

      Bien Re: Preguntas y respuestas sobre el gusano "Conficker"

      Estupenda información Se agradece. Slds

    3. #3
      Ex-Colaboradora Avatar de Maggots_1
      Registrado
      oct 2008
      Ubicación
      >>> Cr., Mvd, U
      Mensajes
      1.450

      Re: Preguntas y respuestas sobre el gusano "Conficker"

      Apsss
      Excelente Información Velcro
      Muy Completa
      Informacion que va a ser muy útil y practica
      principlamente para el Foro de V&S

      Gracias Velcro

      Saludos--

    4. #4
      Usuario Avatar de aeme532
      Registrado
      ene 2009
      Ubicación
      México
      Mensajes
      125

      Re: Preguntas y respuestas sobre el gusano "Conficker"

      Muy buena info, no tenia conocimiento de esta amenaza, y ya cheke mi pc y creo ke no tengo problema con este gusano, muy buen aporte

    5. #5
      Usuario Avatar de chokos
      Registrado
      jun 2007
      Ubicación
      la union
      Mensajes
      12

      Re: Preguntas y respuestas sobre el gusano "Conficker"

      Yo tengo una pregunta, el virus lo coje al nod32 y lo elimina, pero ahi algo que me crea una tarea programada llamada At*.job, en la carpeta C:\WINDOWS\Task; ya le he pasado todas la herramientas habida y por haber, modifico el registro para que solo un usuario lo pueda manipular, del cual, nunca se a escrito la contraseña en algun equipo infectado, pero todos los dias veo que se programan muchas tarea At*.job, me pueden salir hasta 200 de estas tareas para que se ejecuten cada 10 minutos, apenas la tarea se ejecuta, el antivirus borra el conficker, pero no he podido encontrar que genera esa tareas programadas, alguien me puede colabora, pues como el antivirus borra la dll, o el archivo de extencio aleatoria, deja la tarea rundll.exe en memori, y al final del dia uno puede ver 50 procesos rundll.exe. esto acaba con los recursos