Seguridad Microsoft

Seguridad es un trabajo de todos los días

Se incrementa el número de incidencias de Conficker.B en Latinoamérica

Se incrementa el número de incidencias de Conficker.B en Latinoamérica

  • Comments 39
  • Likes

Hola, les escribe Roberto Arbeláez.

A partir de hoy voy a estar compartiendo este espacio con Christian Linacre, quien muy amablemente me abrió las puestas de su blog de Seguridad para Latinoamérica, para poder compartir con ustedes algunas reflexiones sobre los últimos acontecimientos en materia de seguridad de la información.

Una muy breve introducción: Soy Ingeniero y Magíster en Ingeniería de Sistemas y Computación, CISSP y CISA; trabajo en Microsoft hace más de 3 años, donde actualmente me desempeño como Security Program Manager para Latinoamérica.

--------------------

Ahora si, entremos en materia:

seguimos viendo un incremento en el número de infecciones de Conficker.B en Latinoamérica.

Esta variante es considerablemente diferente a la versión original de Conficker (Conficker.A), por lo que es importante estar atento para detectar sus síntomas.

Sintomas de infección de Conficker.B

  • Políticas de bloqueo de cuentas que se estén activando de manera anormal
  • Controladores de dominio que estén siendo sobrecargados con solicitudes
  • Congestión en la red
  • Aplicaciones cliente que se comporten más lento de lo normal
  • Algunos servicios son deshabilitados o no funcionan, tales como:
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
  • Los usuarios infectados no podrán conectarse a sitios web que contengan cadenas como:
    • virus
    • spyware
    • malware
    • rootkit
    • defender
    • microsoft
    • symantec
    • mcafee
    • trendmicro
    • y otros más

Una de las diferencias entre la variante original de Conficker (ahora Conficker.A) y la nueva variante Conficker.B es que esta última utiliza diferentes vectores para propagarse.  A diferencia de Conficker.A (que sólo se propagaba explotando la vulnerabilidad descrita en el boletín de seguridad MS08-067), Conficker.B también intenta explotar contraseñas débiles de administrador para esparcirse, por lo que es importante además de instalar la actualización de seguridad, verificar que las contraseñas de ADMIN$ share sean robustas.

Pasos para eliminar la infección

  1. Instale la actualización asociada al boletín de seguridad MS08-067
  2. Verifique que sus contraseñas de administrador sean robustas. Para ello, puede consultar cualquiera de lo siguientes documento:
  3. Elimine la infección

La actualización de la Herramienta de Eliminación de Software Malintencionado de Microsoft (MSRT - Malicious Software Removal Tool) liberada hoy Martes 13 de Enero, incluirá la detección y remoción de Win32/Conficker en todas sus variantes conocidas hasta el momento. Debido a que Conficker deshabilita las actualizaciones automáticas (automatic updates) de Windows , puede ser necesario emplear un método diferente para implantarlo en entornos empresariales, descrito en el KB891716 – Implantación de MSRT en un entorno empresarial.

También tenemos disponible una guía para la desinfección manual de Conficker.B, por si no es posible desinfectar de otra manera, con gusto la enviaré a vuelta de correo a quienes nos la soliciten.

Más información sobre Conficker.B en el blog de MMPC.

Más información sobre la Herramienta de Eliminación de Software Mailintencionado aqui.

Saludos,

Roberto.

Comments
  • Hola a todos, escribe Christian Linacre para informarles acerca de los boletines de Seguridad de Enero

  • Lo mas importante es que cuando se instala lo hace como un servicio de Microsoft , con un nombre aleatorio por ejemplo "boot time" , o "service center" entre otros , , por lo que es mentira que los antivirus lo detectan , (al menos una vez que se ha podido instalar en la maquina) , se debe desisntalar a mano o con la ultima herramienta para remover virus de Microsoft , lanzada hoy

  • por favor ayudenme a desinfectar mi pc, ya que este virus me esta afectando mucho:

    edwinvivero@yahoo.es

    mil gracias

  • Hola buenos días:

    estoy interesado en la eliminación manual de este gusano!!! podria indicarme los pasos?

    mil gracias.

  • He aplicado los pasos descritos, tambien he aplicado el paquete de seguridad indicado. pero no me ha sido posible evitar que mi pc se vuelva a infectar. ya que despues de remover el virus y reiniciar la pc, se vuelven a crear las tareas programadas at1.job, o at2.job..

    que otro procedimiento puedo aplicar?..

    gracias por su colaboración.

  • @Elias,

    si has seguido los pasos indicados y aun tienes problemas, te recomiendo te contactes con Soporte Microsoft: http://support.microsoft.com/contactus/cu_inventory donde te darán soporte gratuito por tratarse de un problema de seguridad.

    Adicionalmente, te recomiendo que revises la información en el blog de MMPC: http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

    Saludos, Christian.-

  • antes de dejarles una dirección donde puedan encontrar información para eliminar el virus quiero decirles que debemos ir cada día madurando la cultura de acceder de manera segura a dispositivos externos y al internet. Que implica esto tener un antivirus actualizado o en su defecto pasar un antivirus en linea que hay muchos.

    como eliminar el virus: http://www.ebuho.com/blog/2009/01/21/5-pasos-para-eliminar-virus-downadup-conficker/

    antivirus en linea: http://www.ebuho.com/blog/2009/01/23/scaneo-de-virus-en-linea-gratis/

  • Buenas noches amigos, estoy interesado en la remoción manual del gusano, mi correo es rolivari@u21.com.ve o hjt123@hotmail.com. Agradecido de atenmano.

  • Buenas, Seguimos todos los pasos al pie de la letra, pero el virus sigue infectando nuestra red. Crea tareas programadas (at1), (at2), (at)... de esa forma satura los procesos en memoria y hace que el servidor colapse.

    Alguno tuvo esta exeperiencia?,

    Desde ya les agradezco

    Rodrigo Melgarejo

    MSN: romanu_25@hotmail.com

  • @Rodrigo,

    por favor, comunicate con Microsoft a través del Centro de Soporte http://support.microsoft.com/contactus

    saludos, Christian.-

  • También tenemos disponible una guía para la desinfección manual de Conficker.B, por si no es posible desinfectar de otra manera, con gusto la enviaré a vuelta de correo a quienes nos la soliciten.

    Mi mail tban(arroba)tban.es

    Gracias!

  • Me pueden enviar el manual por favor se los agradeceré.

    alfa_guerra@hotmail.com

  • necesito  limpiar maualmente un windows 2000 server que no me deja ir a ninguna pagina de microsoft, tiene instalado el mcafee pero no detecta nada, y se deshabilita el windows update. mi correo es cfarfanr@yahoo.com chale2m@hotmail.com . gracias

  • Bueno tengo ese confiker y aunque he realizado todo el procedimiento descrito al rato (como a los 15 minutos) regresan los at1.job ate2.job, etc , etc.

    Que me recomienda Roberto?

    PD: Max Rodriguez

  • Aqui en venezuela exploto el virus conficker, muchas organizaciones lo tienen....

    En mi organizacion entro el virus, yo tengo forefront sin embargo entro, lo raro es que ya todas mis maquinas tienen el parche , les pase las herramienta de eliminacion de software malicioso, tienen forefront actualizado , sin embargo a los 20 min sale de nuevo....  lo mas raro es que no encuentra virus pero intento entrar en una pag de seguridad y no puedo entrar lo que me ha de suponer que todavia existe  el virus....

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment