Welcome to TechNet Blogs Sign in | Join | Help

Seguridad Microsoft

Seguridad es un trabajo de todos los días
Nuevo brote de Conficker

Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B. Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

  • Detiene y deshabilita los servicios
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
    • Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)
  • El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
  • Reinicia los puntos de restauración del sistema
  • Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

  1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update 
  2. Active el firewall.
  3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
  4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
  5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft.

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior.  Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Posted: Tuesday, December 30, 2008 5:51 PM by linacre

Comments

Miquel Àngel said:

Hola, trabajo en una empresa en la que hemos sufrido este rebrote y en equipos parcheados con boletín MS08-067. los equipos se reinfectan.

# January 4, 2009 7:37 AM

Gustavo said:

Actualiza las firmas del Antivirus, hay cosas que el parche no soluciona del todo. Mas que nada por que el virus hace muchas cosas.

# January 6, 2009 7:09 AM

linacre said:

Hola Miguel Angel,

si estas infectado puedes contactarte con Microsoft en http://support.microsoft.com/contactus

Tienes que tener instalado el update y tus soluciones de antimalware actualizado.

Saludos, Christian.-

# January 6, 2009 11:21 AM

Prefiero no decirlo said:

Hola, levamos desde el dia 30 de Diciembre luchando con el conficker y os aseguro que con el parche NO se esta fuera de peligro. Si tienes el parche no es seguro que NO te infectes y esto no lo digo yo. Nos lo ha dicho el soporte premier de Micro.

# January 7, 2009 12:03 PM

Andres said:

Hola.

Nosotros tambien llevamos luchando contra el gusano desde el 31 de Diciembre. Efectivamente, el tener el parche NO te protege. A nosotros se nos han infectado las maquinas parcheadas desde 2 dias despues de que Micro sacara el parche. Y además varias veces.

Además del parche, tienes que tener firmas antivirus que sean capaces de reconocerlo.

Utilizamos McAfee y ya llevamos 5 o 6 actualiciones de firmas "definitivas". Con la de ayer parece que va mejor, pero ya no nos fiamos.

Por cierto, envié una muestra de la versión de Conficker que tenemos  el 31 de Diciembre a Virus Total y solo habia 2 antivirus que lo detectaban. Y uno de ellos era el de Microsoft.

Con los demás no se. Con este, han sido los primeros.

Un saludo,

# January 8, 2009 3:33 PM

Andres said:

Aproposito.

Mucho cuidado con las cuentas que utilizais para entrar en una maquina infectada. Y especialmente mucho cuidado con donde utilizais las Administradoras  de Dominio.

Esto que es verdad para cualquier "bicho", lo es  todavia más para este.

El muy cabrón te las captura y las utiliza para propagarse.

Nosotros hemos detectado intentos de infección con cuentas Administradoras desde maquinas donde no hemos estado jamas.

Mi experiencia personal: Que las contraseñas de los Administradores locales sean diferentes en cada maquina. Y cambiar las contraseña Administradores de Dominio cada día como mínimo. Al menos, hasta estar razonablemente seguro que el "bicho" no esta en tu red.

# January 8, 2009 3:52 PM

linacre said:

@Andrés

gracias por tus comentarios, como regla general el no usar cuentas con privilegios administrativos es una buena práctica.

En el caso de Conficker, si tienes instalada la actualización y has reiniciado correctamente los computadores donde ha sido instalada, estás protegido de las variantes conocidas de Conficker.

Si estas teniendo algún problema adicional no dudes en contactar a Microsoft en http://support.microsoft.com/contactus o a mi directamente por e-mail.

Saludos

# January 8, 2009 9:32 PM

Diego said:

Desde el 2 de Enero tengo la red infectada con w32.downadup o Conficker, me esta afectando servidores W200 con el parche instalado y otros con w2003R2, tambien con el parche instalado, Tambien se esta propagando en algunos terminales XP Sp2 y SP3, norton Antivirus lo detecta pero no lo esta eliminando

# January 12, 2009 9:49 AM

linacre said:

@Diego,

puedes bajar la herramienta MSRT: http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx

que te ayudará a limpiar las variantes conocidas a hoy de Conficker.

Saludos

# January 13, 2009 4:06 PM

pitbcn said:

Lo mas importante es que cuando se instala lo hace como un servicio de Microsoft , con un nombre aleatorio por ejemplo "boot time" , o "service center" entre otros , , por lo que es mentira que los antivirus lo detectan , (al menos una vez que se ha podido instalar en la maquina) . Se debe desisntalar a mano desde el registro , para determinar que servicio es el que corre el virus poner todos los servicios que corren en automatico , y ver cual dice no estar started (solo deberia estarlo performance and logs), el servicio se asemejara a cualquiera de los de micorosft , pero buscando en propiedades veremos un nombre de servicio aleatorio (vjkilpqm por ejemplo), tambien se puede remover  con la ultima herramienta para remover virus de Microsoft , lanzada hoy . Por suspuesto luego hay que reiniciar.

# January 14, 2009 11:22 AM

Seguridad Microsoft said:

Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

# January 21, 2009 12:11 PM

Carlos Sanabria said:

Este virus no ha sido erradicado de nuestra empresa, el servicio COMPUTER BROWSER lo baja y no deja ingresar a los recursos compartidos.

Estoy  que renuncio; este virus es mas dañado que Hitler.

VOY INSTALAR LINUX EN LOS SERVIDORES, MICROSOFT me tiene defraudado. SOLO VIRUS!

# January 21, 2009 2:15 PM

linacre said:

Estimado @Carlos

si estas con problemas te recomienda lo siguiente:

1. Contacta a tu proveedor de antivirus y comprueba que tengas las últimas firmas y que estas son capaces de limpiar la infección

2. Aségurate de seguir las recomendaciones de remoción y de instalación de las actualizaciones en este mismo blog.

3. Contacta a Microsoft si tienes problemas en: http://support.microsoft.com/contactus/cu_inventory

Saludos, Christian.-

# January 21, 2009 2:51 PM

Rene said:

Hola Estimados,

Tambien esta afectando a la empresa en la que trabajo, he ejecutado la herramienta en MSRT en los xp y no he tenido problemas, tengo un servidor wn2000 y no he podido ejecutar la herramienta, es que solo es para xp?

# January 22, 2009 4:06 PM

linacre said:

@Rene,

la herramienta es compatible con sistemas operativos compatibles: Windows 2000; Windows Server 2003; Windows Vista; Windows XP.

Los detalles estan en: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356

Saludos, Christian.-

# January 22, 2009 5:33 PM

Jusmelis said:

Buenas noches, si mi equipo no tiene el parche de microsoft y ha sido infectado por este virus ¿Qué puedo hacer? Además no puedo entrar a la página de microsoft. Entonces que hago?

Gracias

# January 29, 2009 8:40 PM

linacre said:

@Jusmelis

si tu equipo esta infectado, te recomiendo limpiarlo con la Herramienta de Remoción de Software Malicioso: MSRT http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx

y luego instalar la actualización.

Para no volver a contaminarte tienes que instalar y tener actualizado un antivirus.

El detalle de los pasos está en este mismo blog en el siguiente articulo: http://blogs.technet.com/seguridad/archive/2009/01/13/se-incrementa-el-n-mero-de-incidencias-de-conficker-b-en-latinoam-rica.aspx

Saludos, Christian.-

# January 30, 2009 1:15 PM

adaboy32@hotmail.com said:

La solución: Instalar linux server . Hace años que migramos a Ubuntu y debian y no tenemos estos problemas. Gnulinux un sistema robusto, libre, gratis, sin virus sin cosas raras, haces lo mismo que con win2 y vives tranquilo.

Un sistema tan caro como win2 deberia ser mas fiable

# February 1, 2009 12:04 PM

Charli said:

Debian GNU/Linux y listo. Es mi solucion, a mi me resulta de maravilla. Pero bueno cada uno que use lo que quiera.

# February 15, 2009 10:59 PM

No me gustan los hackers ni sus sistemas said:

No seamos hipocritas. El 95% del malware que daña Windows esta escrito y distribuido desde sistemas linuseros. Pasarse al fenomeno que te roba tiempo y enegia puede ser tan interesante como lanzarse desde lo alto de un rascacielos en caida libre.

# February 16, 2009 3:43 AM

GABRIEL said:

Hola. solo queria mencionar que cada usuario tiene derecho a elegir la plataforma con que se sienta comodo para trabajar. Hace poco se me infecto mi PC arrojandome este resultado el antivirus.

Documents and Settings\NetworkService\Configuración local\Archivos temporales de Internet\Content.IE5\ZJCCU0SV\fgfjj[1].jpg - Variante modificada de Win32/Conficker.AE

Otro gusano como el o los que lo crearon. Tanto talento desperdiciado?

Nada mas

# February 17, 2009 2:45 AM

Ismael Urgente said:

Alguien me puede ayudar si el conficker me puede borrar archivos de mi servidor web, que esta infectado con ese bicho espero sus comentarios.

Gracias

# March 3, 2009 10:59 AM

Gas said:

tengo una red con unas 200 maquinas bajo servidores de windows 2000 y 2003 r2  estuve trabajando desde hace dos semanas con este virus , y encontre la cura ,el famoso gusano conficker se propaga mediante el netbios , por favor desabilitarlo en todas las maquinas y ejecutar una limpieza a fondo , con el antivirus actualizado y software remove de otras empresas de seguridad como bitdefender® y kapersky®

trabajando con el antivirus de eset nod 32 v.4

mas alla de esto , las variantes del conficker como win32.kido.ih son muy dificiles de sacar lo importante es que no se propague mas por ello actualizar adecuadamente la actulizaciones de seguridad de microsoft no solo la MS08-067.

cualquier duda contactarse a gas_nir@hotmail.com

# March 13, 2009 8:49 PM

Gas said:

La mejor forma de eliminar , este virus en una red extensa es evitar su propagacion y parchear todos los equipos.

1 paso : descargar todas las actualizaciones de seguridad del sistema operativo

2 paso : tener correctamente actualizado el kernell del antivirus a la ultima version y su base de firmas .

3 paso : realizar escaneos con las siguientes herramientas

superantispyware: actualizado

Herramienta de eliminación de software malintencionado de Microsoft® Windows® (KB890830)

y en lo posible deshabilitar la opcion del autorun , para evitar su propagacion.

para mas informacion visitar los sig. enlaces de microsoft:

http://support.microsoft.com/kb/962007/es-xl

http://www.microsoft.com/latam/protect/computer/viruses/worms/conficker.mspx

gas_nir@hotmail.com

Gaston arcudi - Dpto. de sistemas

# March 28, 2009 8:53 AM
Leave a Comment

(required) 

(required) 

(optional)

(required) 

  
Enter Code Here: Required

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Page view tracker