Compartilhar via

Nuevo brote de Conficker

  • Artigo

Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B . Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

  • Detiene y deshabilita los servicios
    • Windows Update Service
    • Background Intelligent Transfer Service
    • Windows Defender
    • Windows Error Reporting Services
    • Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)
  • El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
  • Reinicia los puntos de restauración del sistema
  • Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

  1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update
  2. Active el firewall.
  3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
  4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
  5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft .

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior.  Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Technorati: Microsoft,Seguridad,Alertas,Actualizaciones,MS08-067,Boletines,Malware,Noticias,Reportes,Conficker,Conficker.B,Gusano

del.icio.us: Microsoft,Seguridad,Alertas,Actualizaciones,MS08-067,Boletines,Malware,Noticias,Reportes,Conficker,Conficker.B,Gusano

Comments

  • Anonymous
    January 01, 2003
    Se que muchos ya están suscritos al Newsletter de Seguridad , pero para quienes aún no lo estén les comparto

  • Anonymous
    January 01, 2003
    Estimado @Carlos si estas con problemas te recomienda lo siguiente:

  1. Contacta a tu proveedor de antivirus y comprueba que tengas las últimas firmas y que estas son capaces de limpiar la infección
  2. Aségurate de seguir las recomendaciones de remoción y de instalación de las actualizaciones en este mismo blog.
  3. Contacta a Microsoft si tienes problemas en: http://support.microsoft.com/contactus/cu_inventory Saludos, Christian.-

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    January 01, 2003
    @Jusmelis si tu equipo esta infectado, te recomiendo limpiarlo con la Herramienta de Remoción de Software Malicioso: MSRT http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx y luego instalar la actualización. Para no volver a contaminarte tienes que instalar y tener actualizado un antivirus. El detalle de los pasos está en este mismo blog en el siguiente articulo: http://blogs.technet.com/seguridad/archive/2009/01/13/se-incrementa-el-n-mero-de-incidencias-de-conficker-b-en-latinoam-rica.aspx Saludos, Christian.-

  • Anonymous
    January 01, 2003
    Hola Miguel Angel, si estas infectado puedes contactarte con Microsoft en http://support.microsoft.com/contactus Tienes que tener instalado el update y tus soluciones de antimalware actualizado. Saludos, Christian.-

  • Anonymous
    January 01, 2003
    @Andrés gracias por tus comentarios, como regla general el no usar cuentas con privilegios administrativos es una buena práctica. En el caso de Conficker, si tienes instalada la actualización y has reiniciado correctamente los computadores donde ha sido instalada, estás protegido de las variantes conocidas de Conficker. Si estas teniendo algún problema adicional no dudes en contactar a Microsoft en http://support.microsoft.com/contactus o a mi directamente por e-mail. Saludos

  • Anonymous
    January 01, 2003
    @Diego, puedes bajar la herramienta MSRT: http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx que te ayudará a limpiar las variantes conocidas a hoy de Conficker. Saludos

  • Anonymous
    January 04, 2009
    Hola, trabajo en una empresa en la que hemos sufrido este rebrote y en equipos parcheados con boletín MS08-067. los equipos se reinfectan.

  • Anonymous
    January 06, 2009
    Actualiza las firmas del Antivirus, hay cosas que el parche no soluciona del todo. Mas que nada por que el virus hace muchas cosas.

  • Anonymous
    January 07, 2009
    Hola, levamos desde el dia 30 de Diciembre luchando con el conficker y os aseguro que con el parche NO se esta fuera de peligro. Si tienes el parche no es seguro que NO te infectes y esto no lo digo yo. Nos lo ha dicho el soporte premier de Micro.

  • Anonymous
    January 08, 2009
    Hola. Nosotros tambien llevamos luchando contra el gusano desde el 31 de Diciembre. Efectivamente, el tener el parche NO te protege. A nosotros se nos han infectado las maquinas parcheadas desde 2 dias despues de que Micro sacara el parche. Y además varias veces. Además del parche, tienes que tener firmas antivirus que sean capaces de reconocerlo. Utilizamos McAfee y ya llevamos 5 o 6 actualiciones de firmas "definitivas". Con la de ayer parece que va mejor, pero ya no nos fiamos. Por cierto, envié una muestra de la versión de Conficker que tenemos  el 31 de Diciembre a Virus Total y solo habia 2 antivirus que lo detectaban. Y uno de ellos era el de Microsoft. Con los demás no se. Con este, han sido los primeros. Un saludo,

  • Anonymous
    January 08, 2009
    The comment has been removed

  • Anonymous
    January 12, 2009
    Desde el 2 de Enero tengo la red infectada con w32.downadup o Conficker, me esta afectando servidores W200 con el parche instalado y otros con w2003R2, tambien con el parche instalado, Tambien se esta propagando en algunos terminales XP Sp2 y SP3, norton Antivirus lo detecta pero no lo esta eliminando

  • Anonymous
    January 14, 2009
    Lo mas importante es que cuando se instala lo hace como un servicio de Microsoft , con un nombre aleatorio por ejemplo "boot time" , o "service center" entre otros , , por lo que es mentira que los antivirus lo detectan , (al menos una vez que se ha podido instalar en la maquina) . Se debe desisntalar a mano desde el registro , para determinar que servicio es el que corre el virus poner todos los servicios que corren en automatico , y ver cual dice no estar started (solo deberia estarlo performance and logs), el servicio se asemejara a cualquiera de los de micorosft , pero buscando en propiedades veremos un nombre de servicio aleatorio (vjkilpqm por ejemplo), tambien se puede remover  con la ultima herramienta para remover virus de Microsoft , lanzada hoy . Por suspuesto luego hay que reiniciar.

  • Anonymous
    January 21, 2009
    Este virus no ha sido erradicado de nuestra empresa, el servicio COMPUTER BROWSER lo baja y no deja ingresar a los recursos compartidos. Estoy  que renuncio; este virus es mas dañado que Hitler. VOY INSTALAR LINUX EN LOS SERVIDORES, MICROSOFT me tiene defraudado. SOLO VIRUS!

  • Anonymous
    January 22, 2009
    Hola Estimados, Tambien esta afectando a la empresa en la que trabajo, he ejecutado la herramienta en MSRT en los xp y no he tenido problemas, tengo un servidor wn2000 y no he podido ejecutar la herramienta, es que solo es para xp?

  • Anonymous
    January 29, 2009
    Buenas noches, si mi equipo no tiene el parche de microsoft y ha sido infectado por este virus ¿Qué puedo hacer? Además no puedo entrar a la página de microsoft. Entonces que hago? Gracias

  • Anonymous
    February 01, 2009
    La solución: Instalar linux server . Hace años que migramos a Ubuntu y debian y no tenemos estos problemas. Gnulinux un sistema robusto, libre, gratis, sin virus sin cosas raras, haces lo mismo que con win2 y vives tranquilo. Un sistema tan caro como win2 deberia ser mas fiable

  • Anonymous
    February 15, 2009
    Debian GNU/Linux y listo. Es mi solucion, a mi me resulta de maravilla. Pero bueno cada uno que use lo que quiera.

  • Anonymous
    February 16, 2009
    No seamos hipocritas. El 95% del malware que daña Windows esta escrito y distribuido desde sistemas linuseros. Pasarse al fenomeno que te roba tiempo y enegia puede ser tan interesante como lanzarse desde lo alto de un rascacielos en caida libre.

  • Anonymous
    February 17, 2009
    Hola. solo queria mencionar que cada usuario tiene derecho a elegir la plataforma con que se sienta comodo para trabajar. Hace poco se me infecto mi PC arrojandome este resultado el antivirus. Documents and SettingsNetworkServiceConfiguración localArchivos temporales de InternetContent.IE5ZJCCU0SVfgfjj[1].jpg - Variante modificada de Win32/Conficker.AE Otro gusano como el o los que lo crearon. Tanto talento desperdiciado? Nada mas

  • Anonymous
    March 03, 2009
    The comment has been removed

  • Anonymous
    March 13, 2009
    The comment has been removed

  • Anonymous
    March 28, 2009
    La mejor forma de eliminar , este virus en una red extensa es evitar su propagacion y parchear todos los equipos. 1 paso : descargar todas las actualizaciones de seguridad del sistema operativo 2 paso : tener correctamente actualizado el kernell del antivirus a la ultima version y su base de firmas . 3 paso : realizar escaneos con las siguientes herramientas superantispyware: actualizado Herramienta de eliminación de software malintencionado de Microsoft® Windows® (KB890830) y en lo posible deshabilitar la opcion del autorun , para evitar su propagacion. para mas informacion visitar los sig. enlaces de microsoft: http://support.microsoft.com/kb/962007/es-xl http://www.microsoft.com/latam/protect/computer/viruses/worms/conficker.mspx gas_nir@hotmail.com Gaston arcudi - Dpto. de sistemas