http://blogs.technet.com/plataformas/archive/tags/Seguridad/default.aspxTags: Seguridaden-USCommunityServer 2.1 SP1 (Build: 61025.2)http://blogs.technet.com/plataformas/archive/2009/01/22/la-importancia-de-instalar-las-actualizaciones-de-seguridad-ms-08-067-y-el-virus-conficker.aspxThu, 22 Jan 2009 12:30:00 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3189691esplat0http://blogs.technet.com/plataformas/comments/3189691.aspxhttp://blogs.technet.com/plataformas/commentrss.aspx?PostID=3189691<P>Hola de nuevo, somos Juan Arlandis (Sistema Operativo) y Javier Rama (Directorio Activo / Networking).</P> <P>En esta ocasión, y sumándonos al <A href="http://blogs.technet.com/latam/archive/2008/12/30/microsoft-security-bulletin-ms08-067-critical.aspx" mce_href="http://blogs.technet.com/latam/archive/2008/12/30/microsoft-security-bulletin-ms08-067-critical.aspx"><FONT color=#004080>mensaje</FONT></A> que lanzan nuestros compañeros en LATAM, hablaremos sobre la reciente oleada de casos que hemos recibido con respecto al tema.</P> <P>El pasado mes de Octubre, Microsoft publicó el siguiente boletín de seguridad (MS 08-067) que corrige una vulnerabilidad en el servicio Servidor.</P> <P>En caso de no haberlo hecho ya, <B>recomendamos encarecidamente proceder a instalar cuanto antes esta actualización en todos los equipos de vuestros entornos</B>.</P><A href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;958644" target=_blank mce_href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;958644"><FONT color=#004080>958644&nbsp;&nbsp;&nbsp; MS08-067: Vulnerability in Server service could allow remote code execution</FONT></A> <P>A partir de aquí, y explotando esta vulnerabilidad, han ido apareciendo multitud de virus/gusanos que pueden manifestarse de diversas maneras en el entorno.</P> <P>Desde Soporte, los síntomas más comunes que hemos observado son:</P> <P>· <B>Parada de los servicios Server y Browser&nbsp; </B>(casi siempre han sido asociados al virus <B><I>Conficker.A</I></B>)<B></B></P> <P>Comportamientos tales como servicios no disponibles, recursos que han dejado de estar compartidos, etc. han sido el síntoma inicial.</P> <P>Un estudio más en profundidad, suele revelar la existencia de un servicio (con nombres con letras aleatorias tales como <B><I>qbmmf</I></B>) extraño instalado en el servidor afectado.</P> <P>· <B>Bloqueo de múltiples cuentas del dominio&nbsp; </B>(variante del anterior y comúnmente denominada <B><I>Conficker.B</I></B>)<B></B></P> <P>Podemos consultar una descripción amplia de este virus, así como un procedimiento para determinar si una máquina está infectada, en el siguiente enlace:</P> <P><A href="http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B" mce_href="http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B"><FONT color=#004080>http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B</FONT></A></P> <P>Ante una infección de nuestros sistemas, será necesario tanto proceder a instalar la actualización KB 958644 como eliminar el virus de todas las máquinas.</P> <P>Para eliminar el virus de las máquinas, podemos utilizar cualquiera de los múltiples software de antivirus existentes en el mercado.</P> <P>(teniendo el fichero de firmas correspondiente en su versión lo más actualizada posible)</P> <P>En caso de no ser capaces de detectarlo con él, siempre tenemos disponible el scanner online <I><A href="http://onecare.live.com/site/en-us/default.htm" mce_href="http://onecare.live.com/site/en-us/default.htm"><FONT color=#004080>One Care Live</FONT></A></I>.</P> <P>Para esta solución, el único requisito es que el equipo afectado tenga conexión a Internet.</P> <P>Por último comentar que, muy posiblemente, estén surgiendo variantes nuevas de los virus mencionados más arriba.</P> <P><B>Por ello, nuevamente advertiros sobre la importancia de mantener nuestros servidores actualizados.</B></P> <P><I>Enlaces relacionados</I> </P> <UL> <LI><A href="http://support.microsoft.com/kb/962007" target=_blank><FONT color=#004080><STRONG>962007 - Virus alert about the Win32/Conficker.B worm</STRONG></FONT></A></LI> <LI><B><A href="http://blogs.technet.com/askperf/archive/2008/12/09/ms08-067-worms-worms-worms.aspx" target=_blank mce_href="http://blogs.technet.com/askperf/archive/2008/12/09/ms08-067-worms-worms-worms.aspx"><FONT color=#004080>AskPerf:&nbsp; MS08-067: Worms, worms, worms</FONT></A></B><FONT color=#004080> </FONT></LI> <LI><B><A href="http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx" target=_blank mce_href="http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx"><FONT color=#004080>More ms08-067 exploits</FONT></A></B> </LI></UL> <P>Esperamos que esta información os haya servido de utilidad,</P> <BLOCKQUOTE> <P>- Javier Rama del Castillo y Juan Arlandis Villarroya</P></BLOCKQUOTE><img src="http://blogs.technet.com/aggbug.aspx?PostID=3189691" width="1" height="1">CoreNetworkDirectorio ActivoSeguridad