Hola, les escribe Roberto Arbeláez.

A partir de hoy voy a estar compartiendo este espacio con Christian Linacre, quien muy amablemente me abrió las puestas de su blog de Seguridad para Latinoamérica, para poder compartir con ustedes algunas reflexiones sobre los últimos acontecimientos en materia de seguridad de la información.

Una muy breve introducción: Soy Ingeniero y Magíster en Ingeniería de Sistemas y Computación, CISSP y CISA; trabajo en Microsoft hace más de 3 años, donde actualmente me desempeño como Security Program Manager para Latinoamérica.

--------------------

Ahora si, entremos en materia:

seguimos viendo un incremento en el número de infecciones de Conficker.B en Latinoamérica.

Esta variante es considerablemente diferente a la versión original de Conficker (Conficker.A), por lo que es importante estar atento para detectar sus síntomas.

Sintomas de infección de Conficker.B

• Políticas de bloqueo de cuentas que se estén activando de manera anormal
• Controladores de dominio que estén siendo sobrecargados con solicitudes
• Congestión en la red
• Aplicaciones cliente que se comporten más lento de lo normal
• Algunos servicios son deshabilitados o no funcionan, tales como:
  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services
• Los usuarios infectados no podrán conectarse a sitios web que contengan cadenas como:
  • virus
  • spyware
  • malware
  • rootkit
  • defender
  • microsoft
  • symantec
  • mcafee
  • trendmicro
  • y otros más

Una de las diferencias entre la variante original de Conficker (ahora Conficker.A) y la nueva variante Conficker.B es que esta última utiliza diferentes vectores para propagarse.  A diferencia de Conficker.A (que sólo se propagaba explotando la vulnerabilidad descrita en el boletín de seguridad MS08-067), Conficker.B también intenta explotar contraseñas débiles de administrador para esparcirse, por lo que es importante además de instalar la actualización de seguridad, verificar que las contraseñas de ADMIN$ share sean robustas.

Pasos para eliminar la infección

1. Instale la actualización asociada al boletín de seguridad MS08-067
2. Verifique que sus contraseñas de administrador sean robustas. Para ello, puede consultar cualquiera de lo siguientes documento:
   •  Conceptos básicos de bloqueo de cuentas y contraseñas
   • Preguntas frecuentes sobre contraseñas
3. Elimine la infección
   • En línea y de manera gratuita, con Windows Live PC Safety Scan
   • De manera gratuita, descargando la herramienta de Microsoft Malicious Software Removal Tool – MSRT
   • Descargando de manera gratuita la versión de prueba de Microsoft Forefront Client Security

La actualización de la Herramienta de Eliminación de Software Malintencionado de Microsoft (MSRT - Malicious Software Removal Tool) liberada hoy Martes 13 de Enero, incluirá la detección y remoción de Win32/Conficker en todas sus variantes conocidas hasta el momento. Debido a que Conficker deshabilita las actualizaciones automáticas (automatic updates) de Windows , puede ser necesario emplear un método diferente para implantarlo en entornos empresariales, descrito en el KB891716 – Implantación de MSRT en un entorno empresarial.

También tenemos disponible una guía para la desinfección manual de Conficker.B, por si no es posible desinfectar de otra manera, con gusto la enviaré a vuelta de correo a quienes nos la soliciten.

Más información sobre Conficker.B en el blog de MMPC.

Más información sobre la Herramienta de Eliminación de Software Mailintencionado aqui.

Saludos,

Roberto.