Seguridad Microsoft

Seguridad es un trabajo de todos los días

Nuevo brote de Conficker

Nuevo brote de Conficker

  • Comments 24
  • Likes

Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B. Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

  • Detiene y deshabilita los servicios
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
    • Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)
  • El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
  • Reinicia los puntos de restauración del sistema
  • Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

  1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update 
  2. Active el firewall.
  3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
  4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
  5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft.

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior.  Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Comments
  • Hola, trabajo en una empresa en la que hemos sufrido este rebrote y en equipos parcheados con boletín MS08-067. los equipos se reinfectan.

  • Actualiza las firmas del Antivirus, hay cosas que el parche no soluciona del todo. Mas que nada por que el virus hace muchas cosas.

  • Hola Miguel Angel,

    si estas infectado puedes contactarte con Microsoft en http://support.microsoft.com/contactus

    Tienes que tener instalado el update y tus soluciones de antimalware actualizado.

    Saludos, Christian.-

  • Hola, levamos desde el dia 30 de Diciembre luchando con el conficker y os aseguro que con el parche NO se esta fuera de peligro. Si tienes el parche no es seguro que NO te infectes y esto no lo digo yo. Nos lo ha dicho el soporte premier de Micro.

  • Hola.

    Nosotros tambien llevamos luchando contra el gusano desde el 31 de Diciembre. Efectivamente, el tener el parche NO te protege. A nosotros se nos han infectado las maquinas parcheadas desde 2 dias despues de que Micro sacara el parche. Y además varias veces.

    Además del parche, tienes que tener firmas antivirus que sean capaces de reconocerlo.

    Utilizamos McAfee y ya llevamos 5 o 6 actualiciones de firmas "definitivas". Con la de ayer parece que va mejor, pero ya no nos fiamos.

    Por cierto, envié una muestra de la versión de Conficker que tenemos  el 31 de Diciembre a Virus Total y solo habia 2 antivirus que lo detectaban. Y uno de ellos era el de Microsoft.

    Con los demás no se. Con este, han sido los primeros.

    Un saludo,

  • Aproposito.

    Mucho cuidado con las cuentas que utilizais para entrar en una maquina infectada. Y especialmente mucho cuidado con donde utilizais las Administradoras  de Dominio.

    Esto que es verdad para cualquier "bicho", lo es  todavia más para este.

    El muy cabrón te las captura y las utiliza para propagarse.

    Nosotros hemos detectado intentos de infección con cuentas Administradoras desde maquinas donde no hemos estado jamas.

    Mi experiencia personal: Que las contraseñas de los Administradores locales sean diferentes en cada maquina. Y cambiar las contraseña Administradores de Dominio cada día como mínimo. Al menos, hasta estar razonablemente seguro que el "bicho" no esta en tu red.

  • @Andrés

    gracias por tus comentarios, como regla general el no usar cuentas con privilegios administrativos es una buena práctica.

    En el caso de Conficker, si tienes instalada la actualización y has reiniciado correctamente los computadores donde ha sido instalada, estás protegido de las variantes conocidas de Conficker.

    Si estas teniendo algún problema adicional no dudes en contactar a Microsoft en http://support.microsoft.com/contactus o a mi directamente por e-mail.

    Saludos

  • Desde el 2 de Enero tengo la red infectada con w32.downadup o Conficker, me esta afectando servidores W200 con el parche instalado y otros con w2003R2, tambien con el parche instalado, Tambien se esta propagando en algunos terminales XP Sp2 y SP3, norton Antivirus lo detecta pero no lo esta eliminando

  • @Diego,

    puedes bajar la herramienta MSRT: http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx

    que te ayudará a limpiar las variantes conocidas a hoy de Conficker.

    Saludos

  • Lo mas importante es que cuando se instala lo hace como un servicio de Microsoft , con un nombre aleatorio por ejemplo "boot time" , o "service center" entre otros , , por lo que es mentira que los antivirus lo detectan , (al menos una vez que se ha podido instalar en la maquina) . Se debe desisntalar a mano desde el registro , para determinar que servicio es el que corre el virus poner todos los servicios que corren en automatico , y ver cual dice no estar started (solo deberia estarlo performance and logs), el servicio se asemejara a cualquiera de los de micorosft , pero buscando en propiedades veremos un nombre de servicio aleatorio (vjkilpqm por ejemplo), tambien se puede remover  con la ultima herramienta para remover virus de Microsoft , lanzada hoy . Por suspuesto luego hay que reiniciar.

  • Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  • Este virus no ha sido erradicado de nuestra empresa, el servicio COMPUTER BROWSER lo baja y no deja ingresar a los recursos compartidos.

    Estoy  que renuncio; este virus es mas dañado que Hitler.

    VOY INSTALAR LINUX EN LOS SERVIDORES, MICROSOFT me tiene defraudado. SOLO VIRUS!

  • Estimado @Carlos

    si estas con problemas te recomienda lo siguiente:

    1. Contacta a tu proveedor de antivirus y comprueba que tengas las últimas firmas y que estas son capaces de limpiar la infección

    2. Aségurate de seguir las recomendaciones de remoción y de instalación de las actualizaciones en este mismo blog.

    3. Contacta a Microsoft si tienes problemas en: http://support.microsoft.com/contactus/cu_inventory

    Saludos, Christian.-

  • Hola Estimados,

    Tambien esta afectando a la empresa en la que trabajo, he ejecutado la herramienta en MSRT en los xp y no he tenido problemas, tengo un servidor wn2000 y no he podido ejecutar la herramienta, es que solo es para xp?

  • @Rene,

    la herramienta es compatible con sistemas operativos compatibles: Windows 2000; Windows Server 2003; Windows Vista; Windows XP.

    Los detalles estan en: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356

    Saludos, Christian.-

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment