• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Eliminar gusano Conficker / Downadup

    Nombre: Conficker / Downadup Tipo: Gusano de Internet de alta propagación eh infección.. Alias: Win32/Conficker.B, Worm.Win32.Kido, W32/Conficker.worm.gen, Worm.Conficker, W32.Downadup, W32/Downadup.AL, W32/Confick-A, Win32/Conficker.A, Mal/Conficker, Worm:Win32/Conficker.B, Win32.Worm.Downadup.Gen El gusano Conficker , también conocido como Downadup, Downad y ...

          
    1. #1
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Investigación Eliminar gusano Conficker / Downadup

      Nombre: Conficker / Downadup
      Tipo: Gusano de Internet de alta propagación eh infección..
      Alias: Win32/Conficker.B, Worm.Win32.Kido, W32/Conficker.worm.gen, Worm.Conficker, W32.Downadup, W32/Downadup.AL, W32/Confick-A, Win32/Conficker.A, Mal/Conficker, Worm:Win32/Conficker.B, Win32.Worm.Downadup.Gen


      El gusano Conficker, también conocido como Downadup, Downad y Kido.ih, se a convertido rápidamente en uno de los malwares de mayor propagación/infección en los últimos meses de manera similar a como lo han sido algunos antiguos malwares como MSBlaster y Sasser en su momento, pero por supuesto con diferentes funciones.

      Aunque varios sitios estén hablando de el, gran parte de estos no son sitios especializados por lo que se esta publicando mucha información que no es del todo correcta, a lo que creímos conveniente tener nuestra propia guía y mantenerla actualizada con los datos reales eh importantes de Win32/Conficker.




      Métodos de propagación:

      Hasta el momento solo se han detectado 3 técnicas de infección utilizadas por el gusano y aunque no se descarta que a futuro pueda implementar alguna otra, por el momento son solo estas:


      • Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067

      • Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.

      • Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.

      Es importante mencionar que, aunque el PC tenga instalado el parche MS08-067, también se puede infectar si se le conecta un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft, aunque lógicamente como siempre recomendamos tener su sistema actualizado con todos los parches de seguridad disponibles.




      Síntomas Visibles que difieren según la variante de Conficker

      • Puede mostrar errores aleatorios en Svchost.exe como:
        • "Servidor RPC no disponible"
        • "Generic host process for win32 service error”


      • Desactiva varios servicios, como:
        • Windows Defender (Windows Defender)
        • Windows System Restore (Restaurar sistema)
        • Windows Security Center (Centro de Seguridad de Windows)
        • Windows Error Reporting (Reporte de Errores de Windows)
        • Windows Automatic Update (Actualizaciones Automatics de Windows)
        • Windows Automatic Update (Actualizaciones Automáticas de Windows)

      • Bloquea la posibilidad de actualizar nuestro programa Antivirus.

      • Intenta descargarnos diferentes falsos programas Antivirus (Rogue) tales como: XP Antivirus,

      • Bloquea una variedad de sitios de seguridad, tales como las de las empresas Antivirus, este y otros foros de ayuda.


      Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para comprobar la fecha. Una vez que la fecha se ha obtenido, una lista de dominios se generan y se usan para descargar más malware o actualizar el propio gusano.




      Como protegernos de Conficker?

      La protección que debemos contar para evitar ser infectados por Conficker es la misma que nos puede evitar la entrada de cualquier otro malwares y estos son algunos puntos básicos.

      • Contar con un Antivirus actualizado.

      • Mantener Windows actualizado.

      • Mantener el resto del equipo actualizado.

      • Utilizar un Firewall configurado de forma adecuada.

      • No usar la cuenta de Administrador como nuestra cuenta principal.

      • Contar con contraseñas seguras para la red como las cuentas de usuarios.

      • Deshabilitar el auto arranque (autorun) de los dispositivos extraíbles USB externos (Microsoft a liberado una actualización "Microsoft Security Advisory (967940)" que se encarga de deshabilitar esta el arutorun de forma automática, por lo que es importante actualizar su sistema.)

      • Asegúrese de que todos los dispositivos extraíbles USB que se vayan a conectar al equipo están libres de virus, para ello analícelos con un antivirus actualizado antes de que se ejecute su contenido. (Si su antivirus tiene protección residente, no es necesario hacer este análisis.)









      .

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.917

      Re: Eliminar gusano Conficker / Downadup

      Pasos para eliminar Conficker / Downadup.


      Debido a la gran popularidad alcanzada por su nivel de infección/propagación las principales firmas Antivirus han desarrollado aplicaciones especificas para detectar y eliminar todas las variantes de este gusano y a continuación queremos ofrecerles una serie de pasos a seguir para tener un mayor éxito en la limpieza.


      Herramientas especificas para eliminar Conficker:





      Pasos a seguir:


      .- Descargar todas las actualizaciones disponibles para Windows especialmente el parche MS08-067 que tapa el agujero que aprovecha el gusano.


      .- Debido a que el gusano se auto propaga rápidamente, es importante desconectar los equipos infectados de internet y la red interna.


      .- Apagar el "Restaurar Sistema" y Reiniciar e iniciar en "Modo a prueba de fallos" (modo seguro)


      .- Como primer escaneo vamos a utilizar la herramienta "Microsoft’s Malicious Software Removal Tool (MSRT)

      Para eso vamos al menú INICIO > EJECUTAR > y escribimos "MRT" (sin comillas) y hacer un escaneo completo con este.


      En caso de encontrar alguna infección de este lo eliminara automáticamente y nos mostrara un reporte como el de la siguiente imagen:


      Imagen de MSRT eliminando la variante de Conficker.B



      .- Como segundo escaneo vamos a reiniciar en modo normal y pasarle "Panda ActiveScan"

      .- Reiniciar y comprobar los resultados.

      **NOTA** En las pruebas que realizamos con varias muestras reales de Conficker, con la ejecución de estos pasos y la herramienta "Microsoft’s Malicious Software Removal Tool" (MSRT) fueron suficientes para erradicar las infecciones, pero también pueden probar cualquiera de las otras herramientas provistas por las otras firmas de AVs citadas arriba.



      Noticias relacionadas:







      ________________________________________________

      Esto es una guía de esfuerzo personal. Úsela bajo su propio riesgo.

      Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si necesita ayuda personalizada, puede pegar su log de HijackThis en el
      Foro Oficial de HijackThis en español
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.