Cómo borrar el gusano Conficker

Cómo borrar el gusano Conficker
19 de febrero, 2009

El gusano Conficker se ha convertido en la mayor amenaza malware en este arranque de año. Las estimaciones hablan de que puede estar hibernado en cerca de diez millones de PC esperando el momento de actuar en sus actividades cibercriminales. Microsoft, que ha puesto en caza y captura, al autor de la maldita creación, ha desarrollado un parche para saber si estamos infectados.  Averigua si tú eres uno de ellos.

 

Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más dañino de los últimos meses. en este artículo os vamos a enseñar a cómo protegeros de Conficker. 

 

La primera medida es tener contraseñas sólidas o servicios de registro tipo OpenDNS. La segunda saber si ya estamos infectados. Para ello lo mejor es pasar un antivirus actualizado. Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

 

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

 

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“,

„symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“,

„etrust“, „networkassociates“, „computerassociates“, „f-secure“,

„kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“,

„drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,

„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“,

„hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“,

„prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“,

„arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“

 

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

 

http://checkip.dyndns.org

 

http://getmyip.co.uk

 

• http://www.getmyip.org

 

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

 

• ask.com

• baidu.com

• google.com

• msn.com

• www.w3.org

• yahoo.com

 

 

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

 

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):

 

http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

 

  • Share This