h1

Conficker

12/11/2011

Conficker es un gusano informático que puede infectar su equipo y propagarse a otros equipos a través de una red de forma automática, sin interacción humana.

Este gusano es conocido como Conficker (Microsoft, Panda, Eset, McAfee), Downadup (Symantec),  Kido (Kaspersky), entre otros.

Existen, por el momento, 5 variantes del gusano:

  • Win32/Conficker.A (21/11/2008).
  • Win32/Conficker.B (29/12/2008).
  • Win32/Conficker.C (20/2/2009).
  • Win32/Conficker.D (4/3/2009).
  • Win32/Conficker.E (8/4/2009).

Comparación entre versiones:

Versiones Conficker
Versiones Conficker

Propagación

Los métodos de propagación utilizados en función de la variante son:

– Explotación de la vulnerabilidad del servicio servidor (solicitudes RPC), solucionada en el boletin de actualización de Microsoft MS08-067

– Recursos compartidos de red

–  Reproducción automática de unidades extraíbles (usb), mediante un archivo autorun.inf  y el archivo K:\RECYCLER\S-5-3-42-28199522…\jwgkvsq.vmx

Síntomas/Efectos

Si su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:

  • Se han desactivado las directivas de bloqueo de cuenta.
  • Se desactivan las actualizaciones de windows.
  • Se han deshabilitado las actualizaciones automáticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
  • Los controladores de dominio responden con lentitud a las solicitudes del cliente.
  • La red está saturada.
  • No se puede obtener acceso a diversos sitios Web relacionados con la seguridad.
  • No se ejecutarán algunas herramientas relacionadas con la seguridad.

Prevención

– Mantener el equipo actualizado, en especial tener instalado el boletín de seguridad MS08-067.

– Desactivar la Reproducción Automática de Windows (actualización KB967715) y de las unidades extraíbles (pandausbvaccine, desactiva ambas características).

– Disponer de un antivrus activado actualizado.

– Disponer de un Firewall activado.

– Utilizar contraseñas segura. Ver el comprobador de contraseñas de Microsoft.

– No trabajar con una cuenta de Administrador.

– Si trabaja en una red (LAN), disponer de una buena política de permisos para los recuros compartidos.

Desinfección

  1. Si trabaja en una red (LAN) , desconectar el cable de red.
  2. * Descargue y ejecute las herramientas: MSRT (Microsoft) y D (Symantec).
  3. Reinice el equipo, y vuelva a ejecutarlas.

*Para descargar las herramientas desde el mismo equipo infectado realice lo siguiente (como usuario Administrador):

Inicio –> Ejecutar –> cmd –> En la raíz C:\>, escriba lo siguiente:  net stop dnscache

Esto detiene el servicio Cliente DNS para desactivar la función de bloqueo de dominio de Conficker, y ahora poder acceder a los sitios web de seguridad. Para volver a iniciar el servicio ejecute net start dnscache.

También podemos hacerlo desde Inicio –> Ejecutar –> services.msc –> Cliente DNS –> Detener/Iniciar

También podría utilizar el comando ipconfig/flushdns para vaciar y restablecer el contenido del servicio de resolución de la caché de clientes DNS, en lugar detener el servicio “Cliente DNS”.

Para mostrar el contenido de resolución de la cache escibir ipconfig/displaydns
Para actualizar todas las concesiones y volver a registrar los nombres DNS escribir ipconfig/registerdns

Para más información ver la ayuda de Windows: HH Ntcmds.chm

Información Extra

El 12 de febrero de 2009, Microsoft anunció una recompensa de USD $250.000 (180.000 €) por información que conduzca al arresto y a la condena de quienes resulten responsables por lanzar ilegalmente el código malintencionado Conficker en Internet. La oferta de recompensa por parte de Microsoft nace del reconocimiento de que el gusano Conficker es un ataque criminal. Microsoft desea ayudar a las autoridades a atrapar a los criminales responsables de esto. Los residentes de cualquier país pueden reclamar la recompensa, de acuerdo con las leyes de su país, ya que los virus de Internet afectan a toda la comunidad a nivel mundial.

A finales de 2008 se creo confickerworkinggroup, una organización de investigadores de todo el mundo para informar, entender y eliminar el gusano.

Los expertos dicen que es la peor infección desde el SQL Slammer. Las estimaciones del número de ordenadores infectados van de 9 a 15 millones de computadoras, sin embargo, una estimación más conservadora cree que son unos 3 millones, lo que es más que suficiente para causar un gran daño.

Información

Confickerworkgroup

Symantec

Norton Symantec

Soporte Microsoft

Centro de Seguridad Microsoft

Blog TechCenter Seguridad Microsoft

Microsoft Malware Protection Center

Updates

MS08-067 (xp-x86-SP3)

http://technet.microsoft.com/en-us/security/bulletin/ms08-067

KB967715 (xp-x86-SP3)

http://support.microsoft.com/kb/967715/es

Herramientas Prevención/Desinfección

Malicious Software Removal Tool

W32.Downadup Removal Tool

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: