Para ver Todo el contenido del foro es necesario estar Registrado! 
Mar Oct 26, 2010 8:24 pm
Les dejo este tutorial el cual les puede servir a algunos que por x y razones se infectaron
Nombre: Conficker / Downadup
Tipo: Gusano de Internet de alta propagación eh infección..
Alias: Win32/Conficker.B, Worm.Win32.Kido, W32/Conficker.worm.gen, Worm.Conficker, W32.Downadup, W32/Downadup.AL, W32/Confick-A, Win32/Conficker.A, Mal/Conficker, Worm:Win32/Conficker.B, Win32.Worm.Downadup.Gen
El gusano Conficker, también conocido como Downadup, Downad y Kido.ih, se a convertido rápidamente en uno de los malwares de mayor propagación/infección en los últimos meses de manera similar a como lo han sido algunos antiguos malwares como MSBlaster y Sasser en su momento, pero por supuesto con diferentes funciones.
Aunque varios sitios estén hablando de el, gran parte de estos no son sitios especializados por lo que se esta publicando mucha información que no es del todo correcta, a lo que creímos conveniente tener nuestra propia guía y mantenerla actualizada con los datos reales eh importantes de Win32/Conficker.
Métodos de propagación:
Hasta el momento solo se han detectado 3 técnicas de infección utilizadas por el gusano y aunque no se descarta que a futuro pueda implementar alguna otra, por el momento son solo estas:
* Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067
* Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.
* Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.
Cita:
Es importante mencionar que, aunque el PC tenga instalado el parche MS08-067, también se puede infectar si se le conecta un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft, aunque lógicamente como siempre recomendamos tener su sistema actualizado con todos los parches de seguridad disponibles.
Síntomas Visibles que difieren según la variante de Conficker
* Puede mostrar errores aleatorios en Svchost.exe como:
o "Servidor RPC no disponible"
o "Generic host process for win32 service error”
* Desactiva varios servicios, como:
o Windows Defender (Windows Defender)
o Windows System Restore (Restaurar sistema)
o Windows Security Center (Centro de Seguridad de Windows)
o Windows Error Reporting (Reporte de Errores de Windows)
o Windows Automatic Update (Actualizaciones Automatics de Windows)
o Windows Automatic Update (Actualizaciones Automáticas de Windows)
* Bloquea la posibilidad de actualizar nuestro programa Antivirus.
* Intenta descargarnos diferentes falsos programas Antivirus (Rogue) tales como: XP Antivirus,
* Bloquea una variedad de sitios de seguridad, tales como las de las empresas Antivirus, este y otros foros de ayuda.
Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para comprobar la fecha. Una vez que la fecha se ha obtenido, una lista de dominios se generan y se usan para descargar más malware o actualizar el propio gusano.
Como protegernos de Conficker?
La protección que debemos contar para evitar ser infectados por Conficker es la misma que nos puede evitar la entrada de cualquier otro malwares y estos son algunos puntos básicos.
* Contar con un Antivirus actualizado.
* Mantener Windows actualizado.
* Mantener el resto del equipo actualizado.
* Utilizar un Firewall configurado de forma adecuada.
* No usar la cuenta de Administrador como nuestra cuenta principal.
* Contar con contraseñas seguras para la red como las cuentas de usuarios.
* Deshabilitar el auto arranque (autorun) de los dispositivos extraíbles USB externos (Microsoft a liberado una actualización "Microsoft Security Advisory (967940)" que se encarga de deshabilitar esta el arutorun de forma automática, por lo que es importante actualizar su sistema.)
* Asegúrese de que todos los dispositivos extraíbles USB que se vayan a conectar al equipo están libres de virus, para ello analícelos con un antivirus actualizado antes de que se ejecute su contenido. (Si su antivirus tiene protección residente, no es necesario hacer este análisis.)
Nombre: Conficker / Downadup
Tipo: Gusano de Internet de alta propagación eh infección..
Alias: Win32/Conficker.B, Worm.Win32.Kido, W32/Conficker.worm.gen, Worm.Conficker, W32.Downadup, W32/Downadup.AL, W32/Confick-A, Win32/Conficker.A, Mal/Conficker, Worm:Win32/Conficker.B, Win32.Worm.Downadup.Gen
El gusano Conficker, también conocido como Downadup, Downad y Kido.ih, se a convertido rápidamente en uno de los malwares de mayor propagación/infección en los últimos meses de manera similar a como lo han sido algunos antiguos malwares como MSBlaster y Sasser en su momento, pero por supuesto con diferentes funciones.
Aunque varios sitios estén hablando de el, gran parte de estos no son sitios especializados por lo que se esta publicando mucha información que no es del todo correcta, a lo que creímos conveniente tener nuestra propia guía y mantenerla actualizada con los datos reales eh importantes de Win32/Conficker.
Métodos de propagación:
Hasta el momento solo se han detectado 3 técnicas de infección utilizadas por el gusano y aunque no se descarta que a futuro pueda implementar alguna otra, por el momento son solo estas:
* Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067
* Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos.
* Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.
Cita:
Es importante mencionar que, aunque el PC tenga instalado el parche MS08-067, también se puede infectar si se le conecta un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft, aunque lógicamente como siempre recomendamos tener su sistema actualizado con todos los parches de seguridad disponibles.
Síntomas Visibles que difieren según la variante de Conficker
* Puede mostrar errores aleatorios en Svchost.exe como:
o "Servidor RPC no disponible"
o "Generic host process for win32 service error”
* Desactiva varios servicios, como:
o Windows Defender (Windows Defender)
o Windows System Restore (Restaurar sistema)
o Windows Security Center (Centro de Seguridad de Windows)
o Windows Error Reporting (Reporte de Errores de Windows)
o Windows Automatic Update (Actualizaciones Automatics de Windows)
o Windows Automatic Update (Actualizaciones Automáticas de Windows)
* Bloquea la posibilidad de actualizar nuestro programa Antivirus.
* Intenta descargarnos diferentes falsos programas Antivirus (Rogue) tales como: XP Antivirus,
* Bloquea una variedad de sitios de seguridad, tales como las de las empresas Antivirus, este y otros foros de ayuda.
Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para comprobar la fecha. Una vez que la fecha se ha obtenido, una lista de dominios se generan y se usan para descargar más malware o actualizar el propio gusano.
Como protegernos de Conficker?
La protección que debemos contar para evitar ser infectados por Conficker es la misma que nos puede evitar la entrada de cualquier otro malwares y estos son algunos puntos básicos.
* Contar con un Antivirus actualizado.
* Mantener Windows actualizado.
* Mantener el resto del equipo actualizado.
* Utilizar un Firewall configurado de forma adecuada.
* No usar la cuenta de Administrador como nuestra cuenta principal.
* Contar con contraseñas seguras para la red como las cuentas de usuarios.
* Deshabilitar el auto arranque (autorun) de los dispositivos extraíbles USB externos (Microsoft a liberado una actualización "Microsoft Security Advisory (967940)" que se encarga de deshabilitar esta el arutorun de forma automática, por lo que es importante actualizar su sistema.)
* Asegúrese de que todos los dispositivos extraíbles USB que se vayan a conectar al equipo están libres de virus, para ello analícelos con un antivirus actualizado antes de que se ejecute su contenido. (Si su antivirus tiene protección residente, no es necesario hacer este análisis.)
