Preguntas y respuestas sobre el gusano “Conficker”

¿Cuántos ordenadores han sido infectados?

Las estimaciones varían enormemente y van desde unos pocos cientos de miles de equipos infectados hasta unos 10 millones. Es difícil hacer una estimación precisa. Muchos de los ordenadores infectados están conectados a varios servidores de control, por lo que pueden ser contados varias veces. Por otra parte, cientos de PCs infectados en redes corporativas pueden figurar de cara al exterior como un único equipo. Aún así, incluso siendo conservadores nos enfrentamos a una de las botnets de mayor capacidad.

 
¿Cómo protegerse?

El caso de Conficker demuestra en toda su crudeza la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008. Desde entonces, Microsoft ha ofrecido la actualización necesaria para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.

Un factor digno de mención, y todavía más decisivo, es la utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna, algo de lo que los creadores de Conficker se aprovechan sin problemas. Es más, en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los sticks USB, uno de los principales caminos para la difusión de Conficker. El mecanismo de autoarranque está activado en muchos ordenadores y no lo utiliza sólo Conficker para propagarse, sino también muchos otros programas de malware. Aún así, al desactivar la función de autoarranque se impide la facilidad de uso de CDs.

OpenDNS proporciona un servicio interesante al respecto: reconocen los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombie infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras internas del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = “%System Root%\system32\svchost.exe -k netsvcs”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = “[Path and filename of the malware]”

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

 • Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

 Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

“virus”, “spyware”, “malware”, “rootkit”, “defender”, “microsoft”,

“symantec”, “norton”, “mcafee”, “trendmicro”, “sophos”, “panda”,

“etrust”, “networkassociates”, “computerassociates”, “f-secure”,

“kaspersky”, “jotti”, “f-prot”, “nod32”, “eset”, “grisoft”,

“drweb”, “centralcommand”, “ahnlab”, “esafe”, “avast”, “avira”,

“quickheal”, “comodo”, “clamav”, “ewido”, “fortinet”, “gdata”,

“hacksoft”, “hauri”, “ikarus”, “k7computing”, “norman”, “pctools”,

“prevx”, “rising”, “securecomputing”, “sunbelt”, “emsisoft”,

“arcabit”, “cpsecure”, “spamhaus”, “castle”wilderssecurity”, “windowsupdate”

 

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• checkip.dyndns.org

• getmyip.co.uk

www.getmyip.org

Luego se calculan distintas direcciones actualizadas a través de los siguientes dominios:

 • ask.com

• baidu.com

• google.com

• msn.com

www.w3.org

• yahoo.com

 Los ordenadores que accedan a estos dominios pueden estar infectados.

 ¿Cómo deshacerse de Conficker?

En la pagina de Microsoft se puede saber mas sobre esta noticia y como protegerse:

http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx

Y a través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool”):

www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx

Pagina en español
http://support.microsoft.com/kb/962007

fuente: la flecha

Anuncios

Un comentario en “Preguntas y respuestas sobre el gusano “Conficker”

  1. Pingback: Preguntas y respuestas sobre el gusano “Conficker” «

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s