Virus Conficker. Como eliminarlo y protegerse.

Este virus al parecer está asolando millones de ordenadores por el mundo con sistemas operativos XP, 2000,  2003, Vista y 2008 .

Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

  • Detiene y deshabilita los servicios.
    • Windows Update Service.
    • Background Intelligent Transfer Service.
    • Windows Defender.
    • Windows Error Reporting Services.
    • Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista).
  • El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si.
  • Reinicia los puntos de restauración del sistema.
  • Baja archivos arbitrarios de sitios desconocidos.

A continuación os pongo tres paginas web para detectar y desinfectar el virus:

1.- Web para ver si estamos infectados por el Conficker.

2.- Web para descargarse una herramienta de eliminacion de Microsoft.

3.- Parche para corregir el fallo en Windows XP.

4.- Impedir ejecucion del archivo Autorun.inf.

  • Copia y pega el código a continuación en el Bloc de notas y guárdalo como un archivo con extensión .REG. Impedirá la ejecución de cualquier archivo autorun.inf. Por supuesto el virus puede infectarte cuando abras otro programa o incluso un fichero.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=”@SYS:DoesNotExist”

  • El archivo .REG, lo ejecutas para introducir la información en el Registro de Windows y luego reinicias el PC para que se realicen los cambios.
  1. Para deshabilitar la funcionalidad en cuestión en Windows Vista o en Windows Server 2008, se debe tener instalada la actualización de seguridad 950582 (boletín de seguridad MS08-038).
  2. Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualización de seguridad 950582, o las actualizaciones 967715 o 953252.

El asunto del Conficker está siendo una pesadilla para los administradores de red debido a diferentes errores de Windows que al parecer aprovecha el virus para comprometer al sistema inoperativo citado. Además de errores en servicios de Windows no se puede deshabilitar el autorun de las memorias externas a no ser que se apliquen los parches mencionados en el parrafo anterior.

Ver publicacion de Microsoft Support

La cosa es seria o sea que haremos caso al boletín de seguridad MS08-067  de Microsoft del 23 de Octubre en el que dice que libera el parche (958644)

La vulnerabilidad estaba calificado con riesgo crítico y decía al respecto:

“Esta actualización de seguridad resuelve una vulnerabilidad reportada de manera privada en el servicio  Servidor. La vulnerabilidad podría permitir la ejecución remota de código si un sistema afectado recibe una solicitud RPC. En los sistemas Microsoft Windows 2000, Windows XP y Windows Server 2003, un atacante podría aprovechar esta vulnerabilidad sin autenticación para ejecutar código arbitrario. Es posible que esta vulnerabilidad se pueda usar en el diseño de un gusano. Si se siguen los procedimientos recomendados relativos al uso de firewalls y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger recursos de red de los ataques que se originen fuera del ámbito de la empresa.”


Esta entrada fue publicada en Sistemas Operativos, Windows Vista. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s