Hola de nuevo, somos Juan Arlandis (Sistema Operativo) y Javier Rama (Directorio Activo / Networking).

En esta ocasión, y sumándonos al mensaje que lanzan nuestros compañeros en LATAM, hablaremos sobre la reciente oleada de casos que hemos recibido con respecto al tema.

El pasado mes de Octubre, Microsoft publicó el siguiente boletín de seguridad (MS 08-067) que corrige una vulnerabilidad en el servicio Servidor.

En caso de no haberlo hecho ya, recomendamos encarecidamente proceder a instalar cuanto antes esta actualización en todos los equipos de vuestros entornos.

958644    MS08-067: Vulnerability in Server service could allow remote code execution

A partir de aquí, y explotando esta vulnerabilidad, han ido apareciendo multitud de virus/gusanos que pueden manifestarse de diversas maneras en el entorno.

Desde Soporte, los síntomas más comunes que hemos observado son:

· Parada de los servicios Server y Browser  (casi siempre han sido asociados al virus Conficker.A)

Comportamientos tales como servicios no disponibles, recursos que han dejado de estar compartidos, etc. han sido el síntoma inicial.

Un estudio más en profundidad, suele revelar la existencia de un servicio (con nombres con letras aleatorias tales como qbmmf) extraño instalado en el servidor afectado.

· Bloqueo de múltiples cuentas del dominio  (variante del anterior y comúnmente denominada Conficker.B)

Podemos consultar una descripción amplia de este virus, así como un procedimiento para determinar si una máquina está infectada, en el siguiente enlace:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B

Ante una infección de nuestros sistemas, será necesario tanto proceder a instalar la actualización KB 958644 como eliminar el virus de todas las máquinas.

Para eliminar el virus de las máquinas, podemos utilizar cualquiera de los múltiples software de antivirus existentes en el mercado.

(teniendo el fichero de firmas correspondiente en su versión lo más actualizada posible)

En caso de no ser capaces de detectarlo con él, siempre tenemos disponible el scanner online One Care Live.

Para esta solución, el único requisito es que el equipo afectado tenga conexión a Internet.

Por último comentar que, muy posiblemente, estén surgiendo variantes nuevas de los virus mencionados más arriba.

Por ello, nuevamente advertiros sobre la importancia de mantener nuestros servidores actualizados.

Enlaces relacionados

Esperamos que esta información os haya servido de utilidad,

- Javier Rama del Castillo y Juan Arlandis Villarroya