none
virus en AD Conficker RRS feed

Respuestas

  • Solución
    • Restauración del sistema

      Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

    • Herramientas automáticas de desinfección:

      Debido al gran impacto que ha supuestos este gusano, varias compañías antivirus han decidido crear herramientas gratuitas de desinfección, para que la eliminación del gusano sea más sencilla que de forma manual. A continuación se muestra un listado de las herramientas gratuitas:

      Importante: Aunque las herramientas gratuitas eliminan el gusano del ordenador, no instalan el parche que impide que Downadup acceda al equipo aprovechando la vulnerabilidad CVE-2008-4250. Para solucionar esta vulnerabilidad, asegúrese de tener su sistema operativo actualizado, especialmente, tener instalado el parche MS08-067.

    • Eliminación manual

      Si no puede ejecutar las herramientas gratuitas de desinfección y no puede volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

      1. Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:

        1. Pulse 'Inicio' -> 'Ejecutar'.
        2. Teclee services.msc, y pulse 'Aceptar'.
        3. Localice y seleccione el servicio con nombre: "netsvcs".
        4. Pulse 'Acción' -> 'Propiedades'.
        5. Pulse 'Detener'.
        6. Cambie el 'Tipo de inicio:' a Manual.
        7. Pulse 'Aceptar' y cierre la ventana de Servicios.
        8. Reinicie su equipo.
      2. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

      3. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

        Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

      4. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
        En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

      5. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

        Elimine la siguiente clave del registro y todo su contenido:

        Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
      6. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

      7. Actualice todo el software de su ordenador, asegúrese especialmente de que tiene instalado el parche de Microsoft MS08-067, de este modo evitará volver a quedarse infectado por el gusano.

      8. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

    Prevenir otras infecciones: Bloqueo de direcciones IP

    Para prevenir que el gusano acceda a las direcciones IP que calcula, puede bloquear su acceso a estas direcciones. Los siguientes enlaces muestran un listado de ellas:

    Datos Técnicos
    Peligrosidad: 2 - Baja  Difusión: BajaFecha de Alta:23-11-2008
      Última Actualización:04-03-2009
    Daño:Alto
    [Explicación de los criterios]Dispersibilidad: Medio
    Nombre completo: Worm.W32/Downadup@VULN    
    Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
    Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
    Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.
    Tamaño (bytes): 62976
    Alias:W32.Downadup (Symantec), W32/Downadup (PerAntivirus), Win32/Conficker.A (Computer Associates), Worm:Win32/Conficker.A (Microsoft), WORM_DOWNAD.A (Trend Micro), W32/Confick-A (Sophos), Win32/Conficker.worm.62976 (AhnLab), TR/Dldr.Agent.aqfw (AVIRA), Downloader.Agent.APKO (AVG), Trojan.Downloader.JLIW (Bit Defender), TrojanDownloader.Agent.aqfw (Quick Heal), Trojan.DownLoad.16849 (Doctor Web), Downadup.AL (F-Secure), Trojan.Downloader.JLIW (G DATA), Trojan-Downloader.Win32.Agent.aqfw (Kaspersky), W32/Conficker.worm (McAfee), Win32/Conficker.A (ESET), W32/Conficker.A.worm (Panda Security), Trojan.Win32.Downloader.62976.AJ (Hauri), Trojan.Disken.B (VirusBuster), Trj/Downloader.VAU (Panda Security), Net-Worm.Win32.Kido.t (Kaspersky), W32/Conficker.A!worm (Fortinet), Trojan.Downloader-59911 (ClamAV), W32/Downldr2.EXAE (Authentium), Worm.Win32.Conficker!IK (Emsisoft), Worm:W32/Downadup.AA (F-Secure), Worm.Win32.Conficker (Ikarus), Trojan-Downloader.Agent (PC Tools), Trojan/Downloader.Agent.aqfw (Hacksoft), Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda)), W32/DownAdup (Hacksoft), W32/Conficker.C.worm (Panda Security), W32/Conficker (Norman), I-Worm.Kido (Quick Heal)
    Detalles

    Método de Infección/Efectos

    Al ejecutarse copia el siguiente fichero:

    • %System%\[Nombre del fichero aleatorio].dll

    Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
    Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

    Después borra los puntos de Restauración creados por el usuario.

    Crea el servicio netsvcs con las siguientes características:

    Nombre: netsvcs

    Ruta: %SystemRoot%\\system32\\svchost.exe -k netsvcs

    Crea la siguiente entrada en el registro:

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\

    Valor: "ServiceDll" = "[PathToWorm]"

    Después el gusano se conecta a las siguientes URLs para obtener la dirección IP del ordenador comprometido:

    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://checkip.dyndns.org

    Descarga y ejecuta ficheros de la siguiente URL:

    • [http://]trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]

    El gusano crea un servidor http en el ordenador comprometido en un puerto aleatorio, por ejemplo:

    • http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]

    Envía esta URL como parte de su carga útil a equipos remotos.

    Tras una explotación exitosa, el ordenador remoto se conectará de nuevo a esta URL y descargará el gusano.

    De esta forma cada ordenador comprometido puede propagar el gusano por sí mismo, en contraposición a la descarga desde una ubicación predeterminada.

    Después el gusano se conecta a un router UPnP y abre el puerto http.

    A continuación, intenta localizar el dispositivo de red registrado como puerta de Internet en la red y abre el anteriormente mencionado [puerto aleatorio], a fin de permitir el acceso al ordenador comprometido de redes externas.

    El gusano intenta descargar un fichero de datos de la siguiente URL:

    • [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]

    El gusano se propaga explotando la Vulnerabilidad del Servidor de Servicio de Microsoft Windows que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

    Tras ello intenta contactar con los siguientes sitios Web para obtener la fecha actual:

    • http://www.w3.org
    • http://www.ask.com
    • http://www.msn.com
    • http://www.yahoo.com
    • http://www.google.com
    • http://www.baidu.com

    Utiliza la información para generar una lista de nombres de dominio.

    Contacta con estos dominios para intentar descargarse ficheros adicionales en el ordenador comprometido.

    Método de propagación

    La primera versión de este gusano se propaga únicamente explotando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su boletín MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows, que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

    Versiones más actuales de este producto, se propagan también de las siguientes formas:

    • Carpetas compartidas de Microsoft protegidas con contraseñas débiles

      Realiza un ataque por fuerza bruta para intentar obtener la contraseña de acceso a las carpetas compartidas. En caso de que lo logre, guardará una copia de sí mismo y creará un fichero autorun.inf, para que cuando un usuario acceda a esa carpeta, también se quede infectado por el gusano.

      Utilizando este método logra infectar rápidamente redes enteras en ordenadores de las empresas. Por otro lado, es importante indicar que, aunque un ordenador tenga el parche MS08-067 instado en su equipo, puede quedarse igualmente infectado, si accede a una carpeta compartida que está infectada.

    • Dispositivos extraíbles

      Guarda una copia de sí mismo en todos los dispositivos extraíbles que estén conectados al ordenador infectado, también crea un fichero autorun.inf.

      El el fichero autorun.inf se ejecuta automáticamente cada vez que el dispositivo es conectado a un ordenador, su cometido es ejecutar la copia del gusano.

      Con este método de propagación, si se conecta un dispositivo extraíble infectado, por ejemplo, un lápiz USB, en un ordenador limpio, automáticamente se ejecutará la copia del gusano y el nuevo ordenador quedará infectado.

    Otros Detalles

    Debido a que el gusano accede a gran cantidad de direcciones de Internet, algunas compañías han creado un listado de direcciones a las que va a acceder el gusano, puede consultar las siguientes direcciones para prevenir el acceso a ellas:

    Respecto a las direcciones a las que accede el gusano, es importante tener en cuenta los siguientes aspectos:

    • Es posible que algunas de ellas sean direcciones de Internet legítimas, tal y como explica Sophos en su entrada Daños colaterales de Conficker en marzo 2009.
    • Varias organizaciones, entre ellas Microsoft e ICANN, han creado el grupo "Conficker Cabal", que pretende detener la infección de Downadup registrando con antelación, las direcciones a las que se va a conectar el gusano. De esta forma se mejora la seguridad en la red. Aunque para los administradores, se reduce la urgencia de bloquear las direcciones a las que se conecta este programa malicioso, es recomendable que tengan el listado de direcciones y monitoricen las conexiones que pretenden realizar los equipos de la red, si detectan que algún ordenador se ha intentado conectar a alguna de estas direcciones, es muy probable que ese equipo esté infectado.
    • Debido a que el gusano varía muy frecuentemente de dominio al que conectarse, conviene tener el listado de dominios a bloquear actualizado, por un lado, incluyendo los nuevos dominios a los que intentará acceder el gusano en el futuro, pero por otro lado, también quitando del listado de direcciones bloqueadas, aquellas a las que ya no vaya a acceder el gusano, ya que pueden ser utilizadas en un futuro con fines no maliciosos.

    Puede encontrar un listado completo de los diferentes alias asignados por los antivirus en el siguiente enlace:


    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    jueves, 12 de marzo de 2009 8:16
    Moderador

Todas las respuestas

  • Solución
    • Restauración del sistema

      Si utiliza Windows Me, XP o Vista, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista.

    • Herramientas automáticas de desinfección:

      Debido al gran impacto que ha supuestos este gusano, varias compañías antivirus han decidido crear herramientas gratuitas de desinfección, para que la eliminación del gusano sea más sencilla que de forma manual. A continuación se muestra un listado de las herramientas gratuitas:

      Importante: Aunque las herramientas gratuitas eliminan el gusano del ordenador, no instalan el parche que impide que Downadup acceda al equipo aprovechando la vulnerabilidad CVE-2008-4250. Para solucionar esta vulnerabilidad, asegúrese de tener su sistema operativo actualizado, especialmente, tener instalado el parche MS08-067.

    • Eliminación manual

      Si no puede ejecutar las herramientas gratuitas de desinfección y no puede volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

      1. Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:

        1. Pulse 'Inicio' -> 'Ejecutar'.
        2. Teclee services.msc, y pulse 'Aceptar'.
        3. Localice y seleccione el servicio con nombre: "netsvcs".
        4. Pulse 'Acción' -> 'Propiedades'.
        5. Pulse 'Detener'.
        6. Cambie el 'Tipo de inicio:' a Manual.
        7. Pulse 'Aceptar' y cierre la ventana de Servicios.
        8. Reinicie su equipo.
      2. Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

      3. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos.

        Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

      4. Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
        En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

      5. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

        Elimine la siguiente clave del registro y todo su contenido:

        Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
      6. Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

      7. Actualice todo el software de su ordenador, asegúrese especialmente de que tiene instalado el parche de Microsoft MS08-067, de este modo evitará volver a quedarse infectado por el gusano.

      8. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

    Prevenir otras infecciones: Bloqueo de direcciones IP

    Para prevenir que el gusano acceda a las direcciones IP que calcula, puede bloquear su acceso a estas direcciones. Los siguientes enlaces muestran un listado de ellas:

    Datos Técnicos
    Peligrosidad: 2 - Baja  Difusión: BajaFecha de Alta:23-11-2008
      Última Actualización:04-03-2009
    Daño:Alto
    [Explicación de los criterios]Dispersibilidad: Medio
    Nombre completo: Worm.W32/Downadup@VULN    
    Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
    Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
    Mecanismo principal de difusión: [VULN] - Se difunde aprovechando alguna vulnerabilidad, típicamente de servicios de red.
    Tamaño (bytes): 62976
    Alias:W32.Downadup (Symantec), W32/Downadup (PerAntivirus), Win32/Conficker.A (Computer Associates), Worm:Win32/Conficker.A (Microsoft), WORM_DOWNAD.A (Trend Micro), W32/Confick-A (Sophos), Win32/Conficker.worm.62976 (AhnLab), TR/Dldr.Agent.aqfw (AVIRA), Downloader.Agent.APKO (AVG), Trojan.Downloader.JLIW (Bit Defender), TrojanDownloader.Agent.aqfw (Quick Heal), Trojan.DownLoad.16849 (Doctor Web), Downadup.AL (F-Secure), Trojan.Downloader.JLIW (G DATA), Trojan-Downloader.Win32.Agent.aqfw (Kaspersky), W32/Conficker.worm (McAfee), Win32/Conficker.A (ESET), W32/Conficker.A.worm (Panda Security), Trojan.Win32.Downloader.62976.AJ (Hauri), Trojan.Disken.B (VirusBuster), Trj/Downloader.VAU (Panda Security), Net-Worm.Win32.Kido.t (Kaspersky), W32/Conficker.A!worm (Fortinet), Trojan.Downloader-59911 (ClamAV), W32/Downldr2.EXAE (Authentium), Worm.Win32.Conficker!IK (Emsisoft), Worm:W32/Downadup.AA (F-Secure), Worm.Win32.Conficker (Ikarus), Trojan-Downloader.Agent (PC Tools), Trojan/Downloader.Agent.aqfw (Hacksoft), Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda)), W32/DownAdup (Hacksoft), W32/Conficker.C.worm (Panda Security), W32/Conficker (Norman), I-Worm.Kido (Quick Heal)
    Detalles

    Método de Infección/Efectos

    Al ejecutarse copia el siguiente fichero:

    • %System%\[Nombre del fichero aleatorio].dll

    Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
    Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

    Después borra los puntos de Restauración creados por el usuario.

    Crea el servicio netsvcs con las siguientes características:

    Nombre: netsvcs

    Ruta: %SystemRoot%\\system32\\svchost.exe -k netsvcs

    Crea la siguiente entrada en el registro:

    Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\

    Valor: "ServiceDll" = "[PathToWorm]"

    Después el gusano se conecta a las siguientes URLs para obtener la dirección IP del ordenador comprometido:

    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://checkip.dyndns.org

    Descarga y ejecuta ficheros de la siguiente URL:

    • [http://]trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]

    El gusano crea un servidor http en el ordenador comprometido en un puerto aleatorio, por ejemplo:

    • http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]

    Envía esta URL como parte de su carga útil a equipos remotos.

    Tras una explotación exitosa, el ordenador remoto se conectará de nuevo a esta URL y descargará el gusano.

    De esta forma cada ordenador comprometido puede propagar el gusano por sí mismo, en contraposición a la descarga desde una ubicación predeterminada.

    Después el gusano se conecta a un router UPnP y abre el puerto http.

    A continuación, intenta localizar el dispositivo de red registrado como puerta de Internet en la red y abre el anteriormente mencionado [puerto aleatorio], a fin de permitir el acceso al ordenador comprometido de redes externas.

    El gusano intenta descargar un fichero de datos de la siguiente URL:

    • [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]

    El gusano se propaga explotando la Vulnerabilidad del Servidor de Servicio de Microsoft Windows que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

    Tras ello intenta contactar con los siguientes sitios Web para obtener la fecha actual:

    • http://www.w3.org
    • http://www.ask.com
    • http://www.msn.com
    • http://www.yahoo.com
    • http://www.google.com
    • http://www.baidu.com

    Utiliza la información para generar una lista de nombres de dominio.

    Contacta con estos dominios para intentar descargarse ficheros adicionales en el ordenador comprometido.

    Método de propagación

    La primera versión de este gusano se propaga únicamente explotando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su boletín MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows, que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

    Versiones más actuales de este producto, se propagan también de las siguientes formas:

    • Carpetas compartidas de Microsoft protegidas con contraseñas débiles

      Realiza un ataque por fuerza bruta para intentar obtener la contraseña de acceso a las carpetas compartidas. En caso de que lo logre, guardará una copia de sí mismo y creará un fichero autorun.inf, para que cuando un usuario acceda a esa carpeta, también se quede infectado por el gusano.

      Utilizando este método logra infectar rápidamente redes enteras en ordenadores de las empresas. Por otro lado, es importante indicar que, aunque un ordenador tenga el parche MS08-067 instado en su equipo, puede quedarse igualmente infectado, si accede a una carpeta compartida que está infectada.

    • Dispositivos extraíbles

      Guarda una copia de sí mismo en todos los dispositivos extraíbles que estén conectados al ordenador infectado, también crea un fichero autorun.inf.

      El el fichero autorun.inf se ejecuta automáticamente cada vez que el dispositivo es conectado a un ordenador, su cometido es ejecutar la copia del gusano.

      Con este método de propagación, si se conecta un dispositivo extraíble infectado, por ejemplo, un lápiz USB, en un ordenador limpio, automáticamente se ejecutará la copia del gusano y el nuevo ordenador quedará infectado.

    Otros Detalles

    Debido a que el gusano accede a gran cantidad de direcciones de Internet, algunas compañías han creado un listado de direcciones a las que va a acceder el gusano, puede consultar las siguientes direcciones para prevenir el acceso a ellas:

    Respecto a las direcciones a las que accede el gusano, es importante tener en cuenta los siguientes aspectos:

    • Es posible que algunas de ellas sean direcciones de Internet legítimas, tal y como explica Sophos en su entrada Daños colaterales de Conficker en marzo 2009.
    • Varias organizaciones, entre ellas Microsoft e ICANN, han creado el grupo "Conficker Cabal", que pretende detener la infección de Downadup registrando con antelación, las direcciones a las que se va a conectar el gusano. De esta forma se mejora la seguridad en la red. Aunque para los administradores, se reduce la urgencia de bloquear las direcciones a las que se conecta este programa malicioso, es recomendable que tengan el listado de direcciones y monitoricen las conexiones que pretenden realizar los equipos de la red, si detectan que algún ordenador se ha intentado conectar a alguna de estas direcciones, es muy probable que ese equipo esté infectado.
    • Debido a que el gusano varía muy frecuentemente de dominio al que conectarse, conviene tener el listado de dominios a bloquear actualizado, por un lado, incluyendo los nuevos dominios a los que intentará acceder el gusano en el futuro, pero por otro lado, también quitando del listado de direcciones bloqueadas, aquellas a las que ya no vaya a acceder el gusano, ya que pueden ser utilizadas en un futuro con fines no maliciosos.

    Puede encontrar un listado completo de los diferentes alias asignados por los antivirus en el siguiente enlace:


    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    jueves, 12 de marzo de 2009 8:16
    Moderador
  • Q buena respuesta muy completa mil gracias muy contento con la asesoria
    viernes, 13 de marzo de 2009 23:37
  • No hay de que!
    Por favor, marca como RESPUESTA mi mensaje si te fue util, y así servirá de referencia a otros usuarios con el mismo problema.

    Un saludo!

    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    lunes, 16 de marzo de 2009 10:59
    Moderador
  • Hola una vez mas pro aca

    Parece ser q me afecto este virus a uno o ambos de mis servidores pero el mas preocupante es uno q esta con windows server 2000, y solo funciona como un servidor miebro de impresion y para la tarificacion de mi planta telefonica. mira los sintomas q tengo para ver q opinas:

    Desactivada la Task Manager
    No se puede Abrir el regedit
    No puedo ingresar a paginas de antivirus (algunas no todas)
    No puedo instalar el avast serv
    Corri el panda online y se queda en la actualizacion antes de empezar a escanear, lo mismo con otro programa q corri on line de antivirus se quedan en un punto y no avanza mas
    Y lo mas grave no puedo iniciar por ningun modo a prueba de fallos porq me sale tan pronto va a cargar el famoso pantallaso azul sin ningun codigo

    No c q opines de q virus sera o q puede ser

    Ya intente hacer las soluciones de aca adelantandome y no encuentro el servicio netsvcs, entonces no c q hacer

    Me puede Ayudar por favor q debo hacer q debo utilizar o q procedimiento debo hacer HELP ME PLEASE

    Gracias
    domingo, 26 de abril de 2009 1:31