14 de Marzo de 2009
IMPORTANTE: Te recomendamos que veas la nueva variante de Conficker.worm la version conficker.D o Downadup.C que esta listo para hacer su gran ataque el 1 de Abril de 2009 en: Conficker.D:W32.Downadup.C : Win32/conficker.D : W32/confick-G : Trojan.Win32.Pakes.ngs : win32/Conficker.C : BitDefender : Clean
14 de Enero 2009
ACTUALIZACION: Nuevas Variantes del W32/Conficker.worm han salido, ahora está la de Conficker.B que aprovecha las debilidades de las passwords y se intercambia a traves de medios removibles.
EL día 13 de Enero de 2009 Microsoft actualizó el Malicious Software Removal Tool ( MSRT ), con lo cual se puede por fin limpiar el conficker.
Para el Microsoft Windows Malicious Software Removal Tool en un entorno empresarial ver: http://support.microsoft.com/kb/891716
Según F-Secure al 13 de Enero de 2009 hay casi 2.5 millones de computadores infectados con el Conficker worm, también conocido como Downadup, pero al ver la cifra del 14 de Enero del 2009, un día solamente más, ahora hay 3.5 millones de computadores infectados. Como el gusano tiene la capacidad de bajar nuevas versiones de si mismo, se esperá que la propagación siga en aumento.
Hay 3 versiones de este gusano, el Conficker.A que explota la vulnerabilidad del RPC en windows, y el Conficker.B y .C que también hacen lo mismo, más la capacidad de romper contraseñas administrativas debiles atraves del uso de un diccionario de claves. Por eso se aconseja a los administradores parchar el sistema, y a la vez usar contraseñas fuertes.
F-Secure recomienda a los administradores de sistemas que bloqueen los siguientes sitios usados por este gusano, los sitios van cambiando, asi que ver la actualización en: http://www.f-secure.com/weblog/archives/00001574.html
F-Secure también tiene una herramienta para la desinfección, la puedes bajar aquí: F-Secure Clean Downadup/Conficker
———————————————————————————————–
Luego de autoejecutarse, el gusano Conficker.A corrige la misma vulnerabilidad que acaba de explotar, descargando el parche desde el sitio de Microsoft.
El 23 de noviembre, Microsoft solucionó una vulnerabilidad crítica presente en RPC bajo Windows, sin esperar el próximo parche mensual, programado para el segundo martes de diciembre. La compañía tuvo buenas razones para acelerar la publicación del parche debido a que se ha detectado un gusano que aprovecha precisamente tal vulnerabilidad, incluso estando ya solucionada. El riesgo radica en que numerosos usuarios no han instalado la actualización, por lo que sus sistemas siguen siendo vulnerables.
El gusano Conficker.A ya ha infectado una red corporativa en Estados Unidos, y también se han detectado incidencias en Europa, Asia y Sudamérica.
El gusano en cuestión ejecuta un servicio similar a un servidor web en la computadora infectada, usándolo para descargar e instalar nuevo código maligno.
Una curiosidad es que, luego de instalarse, el gusano descarga la actualización de Microsoft que corrige el agujero de seguridad que el mismo gusano acaba de explotar. Claro está, no actúa movido por la generosidad, sino más bien por un intento de dejar fuera a otros gusanos de RPC.
Protegerse contra el gusano es relativamente fácil. Aparte de la instalación del parche de Microsoft es imprescindible tener activada constantemente un cortafuego.
En su sitio Malware Protection Center, Microsoft presentará una descripción detallada del gusano del procedimiento para proteger el sistema.
Este es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.
Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
- http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded
Una vez ingresado al sistema se copia a la siguiente ruta:
%System%\[nombre_aleatorio].dll
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
“ServiceDll” = “[Ruta_al_gusano]“
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:
Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs
Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:
http://trafficconverter.biz/4vir/antispyware/[Removido]
El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envía esa dirección a sistemas remotos.
Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.
Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.
El gusano intenta descargar un archivo de datos desde el siguiente URL:
http://www.maxmind.com/download/geoip/database/Geo[Censurado]
Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:
- http://www.w3.org
- http://www.ask.com
- http://www.msn.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.
Los Nombres que se le conoce son:
|
Antivirus |
Version |
Last Update |
Result |
|
AhnLab-V3 |
- |
- |
- |
|
AntiVir |
- |
- |
Worm/Agent.NB |
|
Authentium |
- |
- |
- |
|
Avast |
- |
- |
Win32:Trojan-gen {Other} |
|
AVG |
- |
- |
- |
|
BitDefender |
- |
- |
- |
|
CAT-QuickHeal |
- |
- |
- |
|
ClamAV |
- |
- |
- |
|
Comodo |
- |
- |
Worm.Win32.Agent.~BM |
|
DrWeb |
- |
- |
- |
|
eSafe |
- |
- |
Suspicious File |
|
eTrust-Vet |
- |
- |
- |
|
Ewido |
- |
- |
- |
|
F-Prot |
- |
- |
- |
|
F-Secure |
- |
- |
Worm.Win32.Agent.nb |
|
Fortinet |
- |
- |
W32/Conficker!worm |
|
GData |
- |
- |
Win32:Trojan-gen {Other} |
|
Ikarus |
- |
- |
Worm.Win32.Agent |
|
K7AntiVirus |
- |
- |
- |
|
Kaspersky |
- |
- |
Worm.Win32.Agent.nb |
|
McAfee |
- |
- |
W32/Conficker.worm |
|
McAfee+Artemis |
- |
- |
Generic!Artemis |
|
Microsoft |
- |
- |
Worm:Win32/Conficker.A |
|
NOD32 |
- |
- |
a variant of Win32/Conficker.X |
|
Norman |
- |
- |
- |
|
Panda |
- |
- |
W32/Conficker.A.worm |
|
PCTools |
- |
- |
Worm.Agent!sd6 |
|
Prevx1 |
- |
- |
- |
|
Rising |
- |
- |
- |
|
SecureWeb-Gateway |
- |
- |
Worm.Agent.NB |
|
Sophos |
- |
- |
Mal/Conficker-A |
|
Sunbelt |
- |
- |
- |
|
Symantec |
- |
- |
W32.Downadup |
|
TheHacker |
- |
- |
W32/Agent.nb |
|
TrendMicro |
- |
- |
WORM_DOWNAD.A |
|
VBA32 |
- |
- |
Worm.Win32.Agent.nb |
|
ViRobot |
- |
- |
- |
|
VirusBuster |
- |
- |
- |
Solución
Si utilizas Trend Online Scanner para la desinfección, este lo encontrará con el nombre: WORM_DOWNAD.A.
Los pasos son se encuentran en la siguiente : Trend AntiVirus
Si quieres ocupar otros Antivirus ONline, los pasos son los mismos:
1.- Si ocupas windows XP, deshabilita el Punto de restauración.
2.- Reinicia a modo a prueba de fallos con red(o modo seguro con red)
3.- Escanea por los bichos, y procede a eliminarlos:
- Symantec Security Check | proceed
- TrendMicro Housecall | proceed
- Ewido Networks | proceed
- Panda ActiveScan | proceed
- BitDefender | proceed
- F-Secure | proceed
4.- Reinicia, pero esta vez normalmente.
5.- Has otro scan para verificar
Otra Forma:
La otra es bajarse el: Autoruns for Windows , aquí si lo corremos vamos a la pestaña servicios, clickeamos también en el menu Options, por Verify Code Signatures, y si vemos bien ahora veremos :
Y si aquí vemos un .DLL que no este verificado, ahí disparamos las alarmas, vemos como se llama el proceso por ejemplo:
TytoskyMalAware y vemos la ruta: C:\WINDOWS\system32\mardadozo.dll
Aquí podemos eliminar el servicio y el archivo que usa, y después revisar el registro como se decía anteriormente.
Post Relacionado:
- Conficker.D:W32.Downadup.C : Win32/conficker.D : W32/confick-G : Trojan.Win32.Pakes.ngs : win32/Conficker.C : BitDefender : Clean Investigadores de seguridad de CA Security han advertido que la...
- Conficker.e : Downad.KK/Conficker.C : WORM_DOWNAD.E : Falso Antivirus : Waledac : Spam El pasado miércoles se produjo una nueva actualización del Conficker,...
{ 19 comments }
veo q nadie comento
me parece mui util i completo lo q aportaste
la verdad es que tengo conflictos con ese “gusano”
y ahora estoi haciendo lo posible para desinfectarlo..
un abrazo
Votar a Favor o en Contra:
0 
0
Hola, soy francisco de Neuquen capital. y estoy peliando hace varios dia con este gusano….gracias por tu aporte, pero lo sigo teniendo en la red……es un gusano bastante duro….jaja
Votar a Favor o en Contra:
0 
0
Hola Francisco, le pasaste el Malicious Software Removal Tool ?, pues este deberia detectartelo. Tienes una red, de que tipo?, que maquinas se encuentran en esa red y con que Sistemas Operativos??…para ver si te podemos ayudar…
Saludos
yo lo intente pasar, pero el problema es qeu el gusano nos impide abrir webs de microsoft y de antivirus, que podemos hacer? =S
Votar a Favor o en Contra:
0 
0
Hola Maikel, cuando no puedes accesar a webs de MSN y de antivirus…si estariamos en el caso ….Pueba con Bitdefender, que todavia no esta en la lista Bitdefender . Lo otro es configurar un equipo para que sea el que entregue las actualizaciones automaticas. Y sino puedes con ninguno de los anteriores, escribe aqui, y nosotros subiremos las cosas directamente en esta pagina.
Saludos
Hola estamos aca peleando con este gusano y la verdad que nos ha traido varios dolores de cabeza porque no lo podemos terminar de eliminar… voy a probar con lo explicado y luego les cuento como me fue… espero recibir algún tipo de asistencia en caso de necesitarla.
Saludos y gracias de antemano
Votar a Favor o en Contra:
0 
0
Hola, mi Nod32 detectó un Win32/Conficker.X y no se como removerlo. Justo la version de prueba de mi Norton Antivirus venció y mañana me la van a renovar…pero no se si mi pc esta infectada. Mi actualizador de Windows estaba apagado. Lo active. y Firewall tambien lo active. Baje windows-kb890830-v2.6(2) y no encontró nada. Que hago? Muchas gracias,
Votar a Favor o en Contra:
0 
0
Hola gracias por toda esta info…
Yo fui al extremo.. he reinstalado mi SO WVHP…
Serías tan amable en brindarme cuidados y precauciones a tener con relación a este tipo de bicho, a la hora de reinstalar mi sistema?
Agradecido por adelantado.
Votar a Favor o en Contra:
0 
0
Un tips para cazar los PC infectados es poner un bridge entre los Controladores de Dominio y la LAN. Con esto podrás revisar que WS están saturando a los DC.
Si tienes un Active Directory, levanta un WSUS, esto es un Windows Update Local. Con esta herramienta tienes el control de las actualizaciones de los WS.
Voy a generar un CortaPalo con los procedimientos que hemos relizado donde trabajo (una red con más de mil WS Windows). En estos momentos nos quedan pocos WS contaminados.
Votar a Favor o en Contra:
0 
0
Hola, lo primero felicitarte por el genial trabajo que has hecho.
Lo segundo pedirte ayuda. Conficker.X se ha alojado en la red donde trabajo. Usamos el nod32, y cada poco nos avisa de el maldito conficker, creo que no puede hacer nada.
He seguido los pasos que pusiste pero tan sólo en mi pc.
Ahora es cuando necesito la ayuda, tengo que hacer el mismo proceso en todos los pc ????
Lo hago también en el server ???
Cual es el mejor método para matar a este molesto bicho ????
Gracias de antemano.
Votar a Favor o en Contra:
0 
0
Hola, como el Conficker es un BotNet, este explota el servicio de RPC . Bueno, ahora como viste tambien explota las contraseñas debiles, y tb. se propaga por medios removibles como un simple pendrive USB, si tienes habilitado el Autorun. Bueno como deciamos antes, si es un Botnet, primero parchar los Servidores y despues las estaciones de trabajo. El parche esta en: parche MS08-067, pero 0j0, el conficker o Downadup o Kido, o como quiera llamarse, cuando infecta una maquina baja el parche de seguridad para que no se vuelva a infectar el mismo, y levanta un servicio para propagarse. Asi que lo primero deberias pasarle el: MSRT para detectarlo y eliminarlo, despues aplicar el Parche. Una cosa importante son los Puntos de Restauración, si el Punto de restauración esta habilitado, este bicho eventualmente podria restaurarse, por eso se aconseja deshabilitar el Punto de restauración y despues en modo a prueba de fallos, o modo seguro, correr los detectores, antivirus, o lo que sea, y parchar, y volver a aplicar el punto de restauracion despues que se limpio.
Bueno, para un entorno empresarial aplica: Herramienta de eliminación de software malintencionado de Microsoft Windows en un entorno empresarial, que es el mismo parche para un pc, pero lo que hace es un Batch corriendo el mismo windows-kb890830-v2.6.exe , pero por lotes…Aer si Tux Y Titosky dan otra idea aparte.
Saludos y Suerte
la unica solucion que detecto el gusano en uno de mis pc fue el malwarebytes y lo removio , y nod32 no detecto denuevo el molestoso c:windows/file.bat .
Votar a Favor o en Contra:
0 
0
Hola
Primero que todo gracias por lo explicado anteriormente, pero tengo un problema de auellos en el pc he pasado de todo pa que este se limpie, el windows live one care, nod32, avg, spyboot search and destroy y han encontrado el famoso gusano se limpia y como a los tres dias denuevo lo pilla el nod32 y vuelta, tengo infectado tambien el pendrive y no se como sacarlo, lo que no entendi de las acciones a tomar es del autorun lo hice pero me aparecio un chorizo muy grande y no se cuales borrar(no tengo idea de computacion solo se usar explorer msn y office). SI me pueden brindar ayuda para acabar de una vez por todas con esta situacion se los agradeceria.
Votar a Favor o en Contra:
0 
0
Entonces formatealo y problema solucionado
Votar a Favor o en Contra:
0 
0
una pregunta, el formatear la makina es suficiente pa’ eliminar este gusano, no guarda la ubicacion de la makina pa’ volver a entrar y tenerla siempre infectada tras la formateadas que se le de???
Votar a Favor o en Contra:
0 
0
Bueno el formatear, ya es la ultima opción. Sobre la posible ubicación de la maquina para explotarla denuevo, depende. Este Worm necesita de un servicio para correr el Dll infectado, como viste, se puede hacer atraves de la vulnerabilidad del RPC de Windows(si todavia no has parchado la maquina), o atraves de un medio removible, carpetas compartidas y demas. Por eso, depende, si tu aseguras tu maquina, y te aseguras que el usb que conectes no este infectado, o en su defecto deshabilitas el autorun para que no se infecte la maquina, estaria todo bien, por eso, parchar el Windows, tener un anivirus actualizado, e idealmente un firewall, ahi estaria todo 0k.
Saludos
Hola!
Hoy por la mañana que prendí mi equipo, el Malicious Software Removal Tool, me dijo que habia detectado un malicious software… finamente dijo que se elimino y vi en la lista que habia sido el WIN32/confickerB … ya con esto puedo estar tranquila?
Los ultimos dias habia tenido problemas con mi Messenger que me decia que estaba en dos ubicaciones a la vez (cuando obvio solo estaba en mi PC)… el conficker podria haber sido la causa de eso? por que por mas que cambiaba contraseña seguia haciendo lo mismo?
Votar a Favor o en Contra:
0 
0
yo tambien tengo problemas con estos virus:
w32\conficker.worm
w32\rontook
w32\banload-gen
no se siean el mismo o similares, el hecho es ke mis antivirus no lo pueden eliminar, cuando intento reiniciar mi maquina en modo seguro o a prueba de errores, a penas carga y se reinicia sola, y sigue asi amenos que resete y escoja el metodo normal.
ke puedo hacer, el avast, mccaffe, nod32, vshield y el panda no lo pueden eliminar al 100%. por cierto, no tengo aceso a internet, se contagio a traves de mi usb, pero ya no la he conectado para evitar problemas
Votar a Favor o en Contra:
0 
0
la solucion formatear toda la wea de pc es mas facil
espero les ayude mi respuesta
Votar a Favor o en Contra:
0 
0
{ 2 trackbacks }