Eliminación del virus Conficker ( Downadup o Kido)

Uno de los virus mas persistentes de la historia, con variantes que  infectan millones de ordenadores por todos el mundo gracias a sus múltiples vias de infección. Sólo en China parece que el 25% de sus Windows están infectados por Conficker.

Siempre cambia el nombre del ejecutable del virus en cada infección aunque la carpeta X:\recycled delata que ha infectado una memoria USB o disco duro externo X:.

Podemos llevar a la práctica alguno de estos dos metodos siguientes:

  1. El de Microsoft.
  2. El de Sophos. Ver como detectar infecciones en una red local con Wireshark(muy interesante).

A continuación copio y amplio un articulo de elhacker.net sobre como desinfectar el virus Conficker y en general impedir las infecciones de los virus de pendrive.

  1. Ver informacion de Microsoft sobre este virus.
  2. Recomendaciones de Sophos para limpiar un red local del virus.
  3. Pagina Web que te indica algunas posibles infecciones de Conficker ya que no te deja acceder a las Webs de los antivirus
  4. Análisis online con Panda NanoScan . http://www.nanoscan.com/?Lang=es
  5. ¿Como actua este virus y como eliminarlo? (informacion muy completa e interesante)
  6. Mas sobre como actua este virus.
  7. Análisis exhaustivo de como es este virus (en íngles)

Como nota diremos que los sistemas operativos Linux y MacOS no están afectados por el virus Conficker.


Opción más rápida (pero quizá no siempre efectiva)

Pasamos una herramienta de desinfección especifica, iniciando sesión con permisos de administrador, por ejemplo estas:

1.- Sophos

2.- Karspersky

Opción más efectiva:

Arrancar con un Live-CD antivirus, antimalware para limpiar y desinfectar el sistema.

Recuerda que la mayoría de malware no es posible eliminarlos mientras están en ejecución (es decir, mientras Windows está en marcha) y lo mejor es arrancar bootear con un Live-CD para buscar las infecciones en un entorno limpio.

  1. AVG Rescue CD  Descarga: http://www.avg.com/ww-es/download-file-cd-arl-iso
  2. Avira Antivir Rescue System  Descarga: http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso
  3. BitDefender Rescue Disk CD  Descarga: http://download.bitdefender.com/rescue_cd/bitdefender-rescue-cd.iso
  4. F-Secure Rescue live CD 3.11  Descarga: http://www.f-secure.com/linux-weblog/files/f-secure-rescue-cd-3.11.23804.zip
  5. G Data Boot CD 2011  Descarga: https://www.gdata.de/typo3conf/ext/dam_frontend/pushfile.php?docID=7749
  6. Kaspersky Rescue Disk 2010  Descarga: http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso
  7. Panda SafeCD 4.4.3.3  Descarga: http://www.pandasecurity.com/resources/tools/SafeCD.iso

Método manual (largo)

Recuerda seguir todos los pasos

1) Descargar e instalar algunos de estos programas: Ad-Aware, SpyBot, SpywareBlaster, Sweeper, HijackThis, CCleaner

Click en el nombre del programa para descargar:

  1. karsersky
  2. Ad-Aware 2007 Free
  3. SpyBot Search & Destroy 1.5.2
  4. SpywareBlaster 4.0
  5. HijackThis 2.0.2
  6. Ewido Security Suite 3.5
  7. VundoFix.exe (Busca dll’s infectadas)

2) Desactivar Restaurar Sistema (System Restore)

Windows XP

Vamos a Inicio, Configuración, Panel de Control –> Sistema –> pestaña “Resaturar Sistema” –> Marcar –> “Desactivar Restaurar Sistema

Windows Vista

Panel de control-> Sistema–> “Protección del sistema” –> “Puntos de restauración automática” –>desactiva todas las casillas

Windows 7

Panel de control –> Sistema y Seguridad –> Sistema–> En el panel de la izquierda seleccione “Protección del sistema” –> “Configuración de protección” seleccione la Unidad (cada una corresponde con un disco duro del PC)–> “Configurar” –> Seleccione “Desactivar protección del sistema” –> “Aceptar”

Nota: Recuerda rehabilitar “Restaurar el sistema” una vez solucionados los problemas con los spywares

Cómo obtener acceso a la carpeta Información del volumen del sistema: http://support.microsoft.com/kb/309531

3) Ver archivos ocultos en todos los Windows

Vamos a Mi PC –>, menú Herramientas, –> Opciones de carpeta –> en la pestaña Ver:

    • Quitar  la marca en “Ocultar extensiones de archivo para tipos de archivo conocidos“.
    • Marcar  “Mostrar archivos y carpetas ocultos”
    • Por último quitamos la marca en “Ocultar archivos protegidos del sistema operativo“.

4) Pasar Antivirus Online

http://www.kaspersky.com/sp/virusscanner
http://www.ewido.net/en/onlinescan/run/
http://www.bitdefender-es.com/scan8/ie.html
http://www.pandasoftware.com/activescan
http://housecall.trendmicro.com/
http://us.mcafee.com/root/mfs/default.asp

Pasar Anti-Espías Online

http://www.nanoscan.com/?Lang=es
http://www.trendmicro.com/spyware-scan/
http://www.sunbelt-software.com/dell/scan.cfm
http://www.spywareguide.com/txt_onlinescan.html
http://www.webroot.com/consumer/products/spysweeper/freescan.html

¿Saber si un fichero tiene virus?

http://www.virustotal.com/es/indexf.html
http://virusscan.jotti.org/
http://www.kaspersky.com/remoteviruschk.html
http://www.fortiguardcenter.com/antivirus/virus_scanner.html

Recuerda que la mayoría de los antivirus on-line necesitan Java:

http://www.java.com/es/download/manual.jsp

5) Iniciar Windows en Modo a Prueba de Fallos

Apretar la tecla F8 antes que salga el logo de Windows y después que salga la BIOS y elegir la opción:

Modo a prueba de fallos” o “Modo Seguro”

6) Ejecutar el Ad-Aware, SpyBot, SpywareBlaster, Spy Sweeper, HijackThis

7)
Ejecutar el editor del registro para ver si hay procesos raros en las ramas:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run –> se ejecuta siempre
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce –> 1 vez
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx –> 1 vez y se pasa a Run.

Si usas el Windows XP, ves a Inicio, Ejecutar -> Msconfig (en la pestaña “Inicio”) tienes los mismos valores que en el registro.

Nota: Conficker emplea diferentes nombre pero en XP si tenemos en Msconfig un entrada con el nombre rundll32.exe deberiamos borrarlos


Cómo evitar los virus y gusanos que llegan vía USB

Desactivar AutoRun (autoejecución) (No ejecutar automáticamente) de las unidades extraibles,   NoDriveTypeAutoRun (AutoPlay) no es suficiente.

  • Crear fichero noautorun.reg  que conteng ael código siguiente:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
  • Ejecutar el archivo creado haciendo doble clic sobre el y pulsando Aceptar cuando nos pregunte.

Eliminar Virus Recycler (variante septiembre  2010 aprox.)

El virus busca nuevas vias de infección en este caso añade Tareas Programadas que  empiezan por “at”: at1, at2, atn. Pero al parecer tambien 2 tareas  de Googleupdate . En algunos casos he visto hasta 4 de Google update auqnue dos igual eran legitimas la duda es muy grande.

El virus está en ejecución con la tarea rundll32.exe por lo que primero debemos matar todas las tareas que tengan ese nombre.

Debemos ser usuario administrador para poder ejecutar los comandos siguientes:

  1. Inicio –> Ejecutar –> cmd –> taskkill /im   rundll32.exe
  2. Comprobar en el Administrador de Tareas que todos los procesos rundll32.exe han sido eliminados, sino terminar los  proceso rundll32.exe desde la ventana del Administrador de Tareas  (CTRL +ALT +SUPR –> administrador de tareas)
  3. Eliminar todas las tareas programadas del programador de tareas.
  4. En la ventana de MSDOS escribir:  at /delete  /yes
  5. Comprobar que todas las tareas han sido eliminadas en el programador de tareas:

Inicio –> Configuración –> Panel de Control –> Tareas Programadas (en XP)

Eliminar todas las tareas que persistan:  ¡Google update noseque tambien es del virus!.

Desinfeccion manual de los pendrives, discos duros externos y tarjetas de memoria

Desde una ventana de MSDOS debemos hacer este proceso para TODOS los pendrives o discos que tengamos, sino no s reinfectaremos de nuevos.

Suponiendo que el pendrive tiene la unidad G: ejecuremos:

1.- c:\>  attrib  -a -h -s -r     g:\autor un.inf

2.- c:\>  del /s /q /f     g:\autor un.inf.

Despues seguiriamos con el punto siguiente por si tenemos la variante que he puesto con el nombre de abril 2010.

Eliminar Virus Recycler (variante abril 2010 aprox.)

Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características:

1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013

y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.

2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: http://www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\is e.exe”

4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\is e.exe
icon=%SystemRoot%\system32\SHELL32.d ll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\is e.exe
shell\open\default=1

5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, el virus inyecta su proceso al explorer.exe de Windows .

Eliminar Virus Recycler (variante 2008 aprox.)

  • Abrir una consola de comandos (cmd.exe) Inicio –> ejecutar –>cmd
  • Finalizar el proceso del explorador (explorer.exe):
    t askkill /f /im explorer.exe
  • Teclear:
    cd \Recycler
  • Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
    attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
  • Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
    ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
  • Abrir el explorador de windows tipeando en la consola:
    explorer.exe.
  • Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Eliminar, Detectar y Desinstalar RootKits
http://www.elhacker.net/eliminar-rootkits.html

Fuente: elhacker.net

Eliminar Virus Recycler

Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, Este virus tiene las siguientes características:

1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013

y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: http://www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.

Eliminación manual:

1. Abrir una consola de comandos (cmd.exe)
2. Finalizar el proceso del explorador (explorer.exe):
taskkill /f /im explorer.exe
3. Tipear:
cd \Recycler
4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
6. Abrir el explorador de windows tipeando en la consola:
explorer.exe.
7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Esta entrada fue publicada en Sistemas Operativos, Windows 7, Windows Vista. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s