Conficker – Virus Mutante del 1 de Abril del 2009
Seguramente muchos ya habrán leído la noticia acerca de este virus polimorfo que haría una catástrofe el 1 de abril del 2009, pues bien tal catástrofe aun no sucedió. Pero lo que si es seguro es que el virus existe y es particularmente difícil de detectar por su característica polimorfa.
He tenido el agrado de encontrarme con dicho bichito y leyendo un poco en Internet veo que:
1.- Conficker es un virus relativamente nuevo y es bastante viable que hayan tantas máquinas infectadas como se indican en las distintas fuentes de Internet. Incluso Microsoft ha publicado un articulo de comoDetener la propagación de Conficker mediante la directiva de grupo
2._ Ataca los sistemas operativos vulnerables de la familia de Microsoft que no tengan la actualización KB921883 – Para el SO en ingles / KB921883 – Para el SO en Español según se informa en el Boletín de seguridad de Microsoft MS08-067
3._ Inhabilita la actualización del antivirus y evita que podamos acceder a las páginas de los antivirus desde la máquina infectada.
4._ Se intenta propagar por la red local y por pendrives que hayan sido infectados. Con respecto a los pendrives ya habíamos destacado en el Sitio de aWEBa, la importancia de desactivar la reproducción automática en las unidades extraibles
5._ Aunque no tengamos actualizado nuestro SO y nuestro antivirus no haya podido actualizarse por motivo de dicha infección, no esta todo perdido ya que existe una herramienta Fixer Downadupproporcionada por Symantec que nos permite eliminarlo.
Como dato importante la herramienta que esta disponible en Symantec, nos deja un archivo log con información de lo que elimino. Por ejemplo, ejecute esta herramienta desde mi pendrive, el cual inicialmente estaba “limpio” pero al insertarlo en la maquina infectada infecto el mismo también. El archivo log se llama FixDwndp.log y en su contenido encuentro:
Symantec W32.Downadup Removal Tool 1.1.0.2
process: svchost.exe, thread: 000004B4 (terminated)
process: svchost.exe, thread: 000009E0 (terminated)
process: svchost.exe, thread: 00000A30 (terminated)
process: svchost.exe, thread: 00000A34 (terminated)
process: svchost.exe, thread: 00000A38 (terminated)
process: svchost.exe, thread: 00000A40 (terminated)
process: svchost.exe (terminated)
C:\WINDOWS\system32\vlekkfe.dll: W32.Downadup.B (unrepairable) (deleted)
D:\Documents and Settings\NetworkService.NT AUTHORITY\Configuración local\Archivos temporales de Internet\Content.IE5\6LNDHEDL\obnjgtih[1].png: W32.Downadup.B (unrepairable) (deleted)
F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx: W32.Downadup.B (unrepairable) (deleted)
F:\autorun.inf: W32.Downadup!autorun (unrepairable) (deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets: dl (value deleted)
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets: ds (value deleted)
registry: HKLM\system\CurrentControlSet\Services\BITS: Start (value set to 0×00000003 (3))
registry: HKLM\system\CurrentControlSet\Services\wuauserv: Start (value set to 0×00000002 (2))
registry: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue (value set to 0×00000001 (1))
registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}\AutoStart (value set to “”)
W32.Downadup has been successfully removed from your computer!
Here is the report:
The total number of the scanned files: 55113
The number of deleted threat files: 4
The number of threat processes terminated: 1
The number of threat threads terminated: 6
The number of registry entries fixed: 6
The system requires a reboot but was not rebooted.
To clean up all remnants of the threat from the system it must be rebooted.
Por otro lado Felix Leder y Tillmann Werner han “destripado” el virus para conocerlo y saber como contrarrestarlo. Por esto es que han desarrollado unas herramientas para detectarlo y deternelo en memoria, y también para reparar nuestro registro; además de una herramienta que permite escanear una red LAN en busca de posibles máquinas infectadas. Todo esto se encuentra en Containing Conficker.
Además Nmap a incorporado a su programa un script para detectar el conficker basados en los descubrimientos de Felix Leder y Tillman Werner. Para ver más de cerca el script, podemos consultar enhttp://www.skullsecurity.org/blogdata/smb-check-vulns.nse
Comentarios
Publicar un comentario