Como remover gusano:Win32/Conficker.B 5

Virus

Conficker, también conocido como Downup, Downadup y Kido, es un gusano que apareció en octubre de 2008 y ataca los sistemas operativos Microsoft Windows. El gusano se propaga explotando una conocida vulnerabilidad (MS08-067) de desbordamiento de búfer en el servicio de Windows Server para poder propagarse. Este servicio es utilizado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows 7 Beta.

El gusano utiliza una petición RPC especialmente preparados para ejecutar código en el equipo de destino.

Cuando se ejecuta en un ordenador, Conficker desactiva una serie de servicios tales como el sistema de actualización automática de Windows, Centro de seguridad de Windows, Windows Defender y Windows Error Reporting.

Metodo de propagacion e infeccion de Conficker

A continuación, se conecta a un servidor, de donde recibe la orden de propagarse aún más, recolecta información personal, y descarga e instala otros malware en el ordenador de la víctima. El gusano también se une a ciertos procesos de Windows como svchost.exe, explorer.exe y services.exe.

  • Las maquinas deben de ser parchadas y reiniciadas para protegerse en contra de una re-infeccion luego de una limpieza del sistema.
  • Tareas programadas son creadas en el sistema para volver a activar el gusano.
  • Los archivos Autorun.inf son utilizados para volver a activar el gusano.
  • Luego de la deteccion y eliminacion del gusano el sistema debe de ser reiniciado para limpiar la memoria correctamente. Puede requerir mas de un reinicio.
  • Todos los sistemas desde Windows 2000 hasta Windows Vista son afectados, incluyendo Windows Server 2008.

Los síntomas de la infección

Si una computadora ha sido infectada por Conficker presentara los siguientes sintomas:

  • Las políticas de las cuentas son restablecidas automáticamente.
  • Algunos servicios de Microsoft Windows, como actualizaciones automáticas, el Servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y Error Reporting Services se deshabilitan automáticamente.
  • Los controladores de dominio responden lentamente a solicitudes de clientes.
  • El sistema de red esta muy congestionado. Esto se puede comprobar con el tráfico de la red gráfico en el Administrador de tareas de Windows.
  • En sitios web relacionados con software antivirus, las actualizaciones del sistema de Windows no se pueden acceder.
  • Lanza un ataque de diccionario, de fuerza bruta contra las contraseñas de administrador para ayudar a su difusión a través de carpetas compartidas de ADMIN$.

Como proteger nuestra PC de Conficker

Para poder proteger o prevenir que una maquina se infecte del virus Confiker en sus diferentes variantes o mutaciones es necesario seguir los pasos siguientes:

  1. Si su equipo ejecuta un sistema Windows 2000 debe de estar actualizado hasta el Service Pack 4, en el caso que su sistema sea Windows XP debe de tener instalado el Service Pack 2 (SP2 – WindowsXP-KB835935-SP2-ENU.exe WindowsXP-KB835935-SP2-ESN.exe).
  2. Aplique la actualización de seguridad asociada con MS08-067 (WindowsXP-KB958644-x86-ENU.exe o WindowsXP-KB958644-x86-ESN.exe). Ver el boletín de seguridad para obtener más información acerca de la vulnerabilidad, software afectado, detección e implementación de herramientas y orientación, actualización de seguridad y despliegue de información.
  3. Asegúrese de que está corriendo su software antivirus al día de su proveedor de confianza, como el de Microsoft Forefront Client Security y Windows Live OneCare.
  4. Haga que sus usuarios utilicen contraseñas fuertes, preferiblemente en combinaciones de numeros y letras y no menores de 8 caracteres.
  5. Desactivar la función de autoplay a través del registro o la utilización de políticas de grupo como se indica en el artículo de Microsoft Knowledge Base 967715 (NoAutoRun.REG).

NOTA: Los clientes con Windows 2000, Windows XP y Windows Server 2003 deben implementar la actualización asociada a Microsoft Knowledge Base el artículo 967715 para poder desactivar el éxito característica AutoRun. Windows Vista y Windows Server 2008 los clientes deben implementar la actualización de seguridad asociada a boletín de seguridad de Microsoft MS08-038 para poder desactivar la  característica de AutoRun con éxito.

Bloqueo de dispositivos USB

Para bloquear o eliminar el acceso a los puertos USB de la computadora es necesario seguir los siguientes pasos:

  1. Navegar a la carpeta c:WINDOWSinf

  2. Hacer clic derecho sobre los archivos usbstor.pnf y usbstor.inf para abrir la ventana de propiedades de cada uno.

  3. Sobre la viñeta de seguridad seleccionar todos los usuarios desplegados y activar todas las opciones de denegar para cada uno de estos.

  4. Clic en aceptar para guardar los cambios de ambos archivos.

Pasos para eliminar Conflicker.B de los sistemas Windows

En el caso que la computadora ya presente sintomas de una infeccion es necesario  ejecutar los pasos mencionados anteriormente para proteger la computadora (Bloqueo del Autorun, aplicacion de parches y service packs, etc). Luego reiniciar el equipo y ejecutar la ultima version de la herramienta antivirus.

  1. Descargamos y ejecutamos la herramienta oficial Microsoft® Windows® Malicious Software Removal Tool (KB890830 windows-kb890830-v2.8.exe)
  2. Luego descargamos la ultima version de McAfee Avert Stinger y esperamos a que termine.

  3. Si Stinger encontro algun virus y  no puede eliminar alguno de los servicios o archivos infectados debemos reiniciar windows en modo a prueba de fallos y volver a ejecutar la herramienta.

Otros enlaces de ayuda | WikipediaMicrosoftMicrosoft comunicado oficial y desinfeccion empresarial

Terminos de busqueda

  • conficker b removal tool
  • remove conficker b
  • autorun PNF
  • opencandy virus
  • 5 thoughts on “Como remover gusano:Win32/Conficker.B

    1. Reply Briam Mar 31,2009 19:26

      Gracias exelente tutorial…….

    2. Reply JAVIER Apr 19,2009 20:39

      SI PERO COMO LO SACO SI NO PUEDO ENTRAR COMO USUARIO ADMINISTRADOR?
      JEJEJEJE

    3. Reply seba Jul 23,2009 19:55

      Estos pasos me sirven para win 2k server?

    4. Reply christian salazar Aug 27,2009 23:39

      para prohibir que confiker ataque el pc desde otro pc,

      1-subir el firewall del pc y verificar que esta activo para todas las tarjetas.

      2-activar el log del firewall para ver que accesos denegados se generaron (drop)
      y asi identificar al pc que esta infectando.

      3-ir al registro del pc en
      hklmsoftwmicrosoftwindowsntcurrentversionsvchost hacer clic
      derecho e ir a permisos, eliminar el permiso para el CURRENT_OWNER,
      prohibir al usuario SERVICE y ADMINISTRATORS la edición de esta clave (porque confiker ataca la lista de servicios iniciados por svchosts), si le decimos al grupo de admnistrators que no puede modificar no hay peligro, es reversible, si queremos actualizar el pc hay que desbloquear esta clave y restaurarla a su estado original: system y administrators deben poder modificar.

      4-restaurar la configuracion original del firewall porque confiker agrega puertos para el propagarse cuando subamos el fireweall

      5-eliminar los permisos de modificacion para el firewall en:
      hklmsystemcurrentcontrolsetservicessharedaccess
      quitar el usuario current_owner, y decirle a system y administartors que no tienen derecho para modificar. (sobre todo system, porque bajo esta credencial es que se ejecuta confiker).

      6-eliminar el permiso de “recorrer carpetas y ejecutar” a todas las papeleras de reciclaje, porque tambien se aloja ahi. Hay que decirle a la carpeta que sustituya el “owner” en todos las subcarpetas y archivos porque confiker crea subcarpetas con archivos con DACL personalizados que solo dejan que el usuario SYSTEM solo pueda leer y nadie mas.

      7-ufff..todo eso cuesta pero ayuda..y muy importante: No entregarle al usuario del pc derechos administrativos..solo hacerlo correr con un usuario miembro del grupo “users” (no de advanced users porque se infecta igual).

      esa es mi experiencia y me permite tener 400 pcs limpios de confiker y de otros virus, sin usar antivirus, salvo una que otra vez el malware removal tool de windows para casos donde se cometen errores que permiten la entrada de virus.

    Comentario, Preguntas o agradecimientos?

    %d bloggers like this: