Blog Registrarse Manuales Programas Glosario

Regresar   Foro de Spyware » Documentación » Virus y Spywares mas comunes
Actualizar Eliminar gusano Conficker / Downadup
 

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog


Virus y Spywares mas comunes Guías paso a paso con herramientas específicas para eliminar los Malwares mas peligrosos. Vundo, Rogues, Conficker, Zlob, Bagle, CiD, MSN.Worm.

 
 
Enviar a: Herramientas
  post #1  
Antiguo 05/03/09, 23:54:47
Avatar de ElPiedra
FS-Admin
  
Registrado: ene 2005
Ubicación: Miami
Mensajes: 32.894
Investigación Eliminar gusano Conficker / Downadup
Nombre: Conficker / Downadup
Tipo: Gusano de Internet de alta propagación eh infección..
Alias: Win32/Conficker.B, Worm.Win32.Kido, W32/Conficker.worm.gen, Worm.Conficker, W32.Downadup, W32/Downadup.AL, W32/Confick-A, Win32/Conficker.A, Mal/Conficker, Worm:Win32/Conficker.B, Win32.Worm.Downadup.Gen


El gusano Conficker, también conocido como Downadup, Downad y Kido.ih, se a convertido rápidamente en uno de los malwares de mayor propagación/infección en los últimos meses de manera similar a como lo han sido algunos antiguos malwares como MSBlaster y Sasser en su momento, pero por supuesto con diferentes funciones.

Aunque varios sitios estén hablando de el, gran parte de estos no son sitios especializados por lo que se esta publicando mucha información que no es del todo correcta, a lo que creímos conveniente tener nuestra propia guía y mantenerla actualizada con los datos reales eh importantes de Win32/Conficker.




Métodos de propagación:

Hasta el momento solo se han detectado 3 técnicas de infección utilizadas por el gusano y aunque no se descarta que a futuro pueda implementar alguna otra, por el momento son solo estas:

  • Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067

  • Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.

  • Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.
Cita:
Es importante mencionar que, aunque el PC tenga instalado el parche MS08-067, también se puede infectar si se le conecta un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft, aunque lógicamente como siempre recomendamos tener su sistema actualizado con todos los parches de seguridad disponibles.




Síntomas Visibles que difieren según la variante de Conficker
  • Puede mostrar errores aleatorios en Svchost.exe como:
    • "Servidor RPC no disponible"
    • "Generic host process for win32 service error”
  • Desactiva varios servicios, como:
    • Windows Defender (Windows Defender)
    • Windows System Restore (Restaurar sistema)
    • Windows Security Center (Centro de Seguridad de Windows)
    • Windows Error Reporting (Reporte de Errores de Windows)
    • Windows Automatic Update (Actualizaciones Automatics de Windows)
    • Windows Automatic Update (Actualizaciones Automáticas de Windows)
  • Bloquea la posibilidad de actualizar nuestro programa Antivirus.

  • Intenta descargarnos diferentes falsos programas Antivirus (Rogue) tales como: XP Antivirus,

  • Bloquea una variedad de sitios de seguridad, tales como las de las empresas Antivirus, este y otros foros de ayuda.

Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para comprobar la fecha. Una vez que la fecha se ha obtenido, una lista de dominios se generan y se usan para descargar más malware o actualizar el propio gusano.




Como protegernos de Conficker?

La protección que debemos contar para evitar ser infectados por Conficker es la misma que nos puede evitar la entrada de cualquier otro malwares y estos son algunos puntos básicos.
  • Contar con un Antivirus actualizado.

  • Mantener Windows actualizado.

  • Mantener el resto del equipo actualizado.

  • Utilizar un Firewall configurado de forma adecuada.

  • No usar la cuenta de Administrador como nuestra cuenta principal.

  • Contar con contraseñas seguras para la red como las cuentas de usuarios.

  • Deshabilitar el auto arranque (autorun) de los dispositivos extraíbles USB externos (Microsoft a liberado una actualización "Microsoft Security Advisory (967940)" que se encarga de deshabilitar esta el arutorun de forma automática, por lo que es importante actualizar su sistema.)

  • Asegúrese de que todos los dispositivos extraíbles USB que se vayan a conectar al equipo están libres de virus, para ello analícelos con un antivirus actualizado antes de que se ejecute su contenido. (Si su antivirus tiene protección residente, no es necesario hacer este análisis.)








.
InfoSpyware

  post #2  
Antiguo 05/03/09, 23:57:13
Avatar de ElPiedra
FS-Admin
  
Registrado: ene 2005
Ubicación: Miami
Mensajes: 32.894
Re: Eliminar gusano Conficker / Downadup
Pasos para eliminar Conficker / Downadup.


Debido a la gran popularidad alcanzada por su nivel de infección/propagación las principales firmas Antivirus han desarrollado aplicaciones especificas para detectar y eliminar todas las variantes de este gusano y a continuación queremos ofrecerles una serie de pasos a seguir para tener un mayor éxito en la limpieza.


Herramientas especificas para eliminar Conficker:



Pasos a seguir:


Cita:
.- Descargar todas las actualizaciones disponibles para Windows especialmente el parche MS08-067 que tapa el agujero que aprovecha el gusano.


.- Debido a que el gusano se auto propaga rápidamente, es importante desconectar los equipos infectados de internet y la red interna.


.- Apagar el "Restaurar Sistema" y Reiniciar e iniciar en "Modo a prueba de fallos" (modo seguro)


.- Como primer escaneo vamos a utilizar la herramienta "Microsoft’s Malicious Software Removal Tool (MSRT)

Para eso vamos al menú INICIO > EJECUTAR > y escribimos "MRT" (sin comillas) y hacer un escaneo completo con este.


En caso de encontrar alguna infección de este lo eliminara automáticamente y nos mostrara un reporte como el de la siguiente imagen:


Imagen de MSRT eliminando la variante de Conficker.B



.- Como segundo escaneo vamos a reiniciar en modo normal y pasarle "Panda ActiveScan"

.- Reiniciar y comprobar los resultados.

**NOTA** En las pruebas que realizamos con varias muestras reales de Conficker, con la ejecución de estos pasos y la herramienta "Microsoft’s Malicious Software Removal Tool" (MSRT) fueron suficientes para erradicar las infecciones, pero también pueden probar cualquiera de las otras herramientas provistas por las otras firmas de AVs citadas arriba.



Noticias relacionadas:






________________________________________________

Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el Foro Oficial de HijackThis en español
Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia)

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.
 

« Tema Anterior | Próximo Tema »
Herramientas

Reglas del foro
No puedes crear nuevos temas
No puedes responder temas
No puedes subir adjuntos
No puedes editar tus mensajes
BB code is activado
Las caritas están activado
Código [IMG] está activado
Código HTML está activado
Trackbacks are desactivado
Pingbacks are activado
Refbacks are activado

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Win32/Conficker.V (Gusano de internet) Leandro_ Foro de Virus y Spywares 11 30/01/09 16:04:49
Eliminar Gusano de Internet mothed Foro de Virus y Spywares 1 15/12/08 19:58:19
Ayuda con Win32\Conficker.E DESESPERACION TOTAL No_Mercy Foro de Virus y Spywares 15 05/12/08 23:37:27
No se elimina Toolbar 888B y NOD32 no puede eliminar Wind32/VB.NJC Injaki Temas Solucionados 1 12/02/07 18:42:39




Todas las horas son GMT -4. La hora es 11:54:12.

Sobre Infospyware - Contáctanos - Políticas del Foro - Staff - Archivo - Blog  

Powered by: InfoSpyware, Versión 3.8.4
Copyright © 2004 - 2009, ForoSpyware.com
© Copyright 2005 - 2009 InfoSpyware ® Todos los derechos reservados.
InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31