Como eliminar el virus Conficker también conocido como Downad, Kido y otras variantes, herramientas para detectarlo y desinfectar la computadora y red local, características, métodos de propagación, precauciones y consejos para evitar la infección.
El virus Conficker se ha convertido rápidamente en uno de los malware de mayor propagación y peligro en la red y constituye una de las principales amenazas de seguridad en la actualidad.Es un gusano de Internet de alta propagación e infección capaz de ocasionar cuantiosos daños en cualquier computadora.
Se ha hecho de gran renombre al estilo de algunos antiguos virus como MSBlaster y Sasser en su momento.
Se conoce como Conficker o por los siguientes alias:
I-Worm/Kido, WORM_DOWNAD.AD, Worm:Win32/Conficker.gen!A , Net-Worm.Win32.Kido Worm:Win32/Conficker.gen!A, Worm:W32/Downadup
Se hizo muy famoso en marzo del 2009 cuando multitud de medios de información en la web, diarios, revistas y noticieros especularon sobre la posibilidad de que el día 1º de Abril de ese año fuera el día "D" y Conficker infestara miles de computadoras en el mundo entero.Esto no sucedió lógicamente y se bajó la alarma inmediatamente, pero se ha ido expandiéndose lentamente desde entonces hasta convertirse en una de las principales amenazas en el día de hoy.
El modo de actuar de este malware es principalmente impedir que los usuarios tengan acceso tanto a Windows Update como a páginas de proveedores de seguridad, a la vez que descarga falsos antivirus en los equipos comprometidos.
Existen numerosas variantes que han ido desarrollando y distribuyendo desde su surgimiento.
¿Cómo se propaga y transmite el virus Conficker?
Conficker se propaga de las siguientes formas:
• Por Internet: Aprovecha la vulnerabilidad CVE-2008-4250, la cual ya fue resuelta por Microsoft con el parche MS08-067.
• Por redes locales: A través de carpetas compartidas en red protegidas con contraseñas débiles, es capaz de infestar toda nuestra red en solo minutos.
• Por dispositivos USB: Mediante cualquier dispositivo de almacenamiento extraíble USB como memorias flash, pendrives, Cámaras, discos duros, etc.
Crea un archivo autorun.inf infectado cuya acción es auto ejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a una PC.
Al ser ejecutado el gusano se copia a la carpeta Windows creando un archivo de nombre aleatorio, entonces modifica el Registro para cargarse automáticamente en cada inicio, modifica las siguientes claves:
HKLM\SYSTEM\CurrentControlSet\Services\<servicio de nombre aleatorio>
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc
Conficker crea los siguientes archivos ocultos en memorias flash y otros dispositivos extraíbles:
\autorun.inf
\RECYCLER\S<letra aleatoria>\<letras aleatorias>.dl
• Por redes locales: A través de carpetas compartidas en red protegidas con contraseñas débiles, es capaz de infestar toda nuestra red en solo minutos.
• Por dispositivos USB: Mediante cualquier dispositivo de almacenamiento extraíble USB como memorias flash, pendrives, Cámaras, discos duros, etc.
Crea un archivo autorun.inf infectado cuya acción es auto ejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a una PC.
Al ser ejecutado el gusano se copia a la carpeta Windows creando un archivo de nombre aleatorio, entonces modifica el Registro para cargarse automáticamente en cada inicio, modifica las siguientes claves:
HKLM\SYSTEM\CurrentControlSet\Services\<servicio de nombre aleatorio>
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc
Conficker crea los siguientes archivos ocultos en memorias flash y otros dispositivos extraíbles:
\autorun.inf
\RECYCLER\S<letra aleatoria>\<letras aleatorias>.dl
Acciones que realiza y daños que produce al sistema el virus Conficker
Desactiva varios servicios, como:
• Windows Defender (Windows Defender)
• Windows System Restore (Restaurar sistema)
• Windows Security Center (Centro de Seguridad de Windows)
• Windows Error Reporting (Reporte de Errores de Windows)
• Windows Automatic Update (Actualizaciones Automaticas de Windows)
• Bloquea la actualización de nuestro programa Antivirus.
• Intenta descargarnos falsos programas Antivirus.
• Bloquea sitios de seguridad, tales como las de las empresas Antivirus y foros de ayuda.
• Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para descargar más malware o actualizar el propio gusano.
• Windows System Restore (Restaurar sistema)
• Windows Security Center (Centro de Seguridad de Windows)
• Windows Error Reporting (Reporte de Errores de Windows)
• Windows Automatic Update (Actualizaciones Automaticas de Windows)
• Bloquea la actualización de nuestro programa Antivirus.
• Intenta descargarnos falsos programas Antivirus.
• Bloquea sitios de seguridad, tales como las de las empresas Antivirus y foros de ayuda.
• Completamente independiente, el gusano utiliza Google, Yahoo, Ask, y otros motores de búsqueda, para descargar más malware o actualizar el propio gusano.
Precauciones para evitar la infección del virus Conficker
Descargar todas las actualizaciones disponibles para Windows especialmente el parche MS08-067
http://www.microsoft.com/spain/technet/security/bulletin/ms08-067.mspx que tapa el agujero que aprovecha el gusano.
Aunque la PC tenga instalado el parche MS08-067, también se puede infectar si se le conecta un dispositivo extraíble infectado.
Seguir las mismas precauciones básicas recomendadas para evitar cualquier tipo de malware.
¿Cómo eliminar el virus Conficker de la PC o de una red local?
Diferentes herramientas hechas por las empresas de seguridad para eliminar específicamente Conficker, vínculos para acceder a su descarga:
Microsoft MSRT, Microsoft's Malicious Software Removal Tool
F-Secure, F-Downadup Removal Tool
Symantec, W32.Downadup Removal Tool
Bitdefender, Win32.Worm.Downadup.Gen
ESET (Nod32), EConfickerRemover
En el siguiente link puedes descargar la herramienta virus fighting, hecha por Kaspersky.
Tiene la ventaja sobre todos los otros métodos mencionados más arriba que permite eliminar no solo Conficker si no también otros malware difíciles y a veces imposibles de remover mediante los programas antivirus convencionales.
La lista de todos puedes leerla en el archivo ReadMe.txt incluido en el archivo de descarga.
Es la versión 12.0.0.20, se incluye en el comprimido dos archivos batch para facilitar el proceso de desinfección y limpieza a los que no poseen habilidad de usar la línea de comandos.
Descargar virus fightingComo utilizar virus fighting
Para usarlo sigue los siguientes pasos:
1- Desconéctate de cualquier red que utilices.
2- Descomprime el archivo preferentemente en una unidad extraíble como una memoria flash.
3- Ejecuta el archivo klwk.com que revisará y desinfestara la memoria y archivos de inicio del sistema en caso de estar infestado por el virus.
4- Si necesitas revisar y limpiar los discos duros ejecuta el batch scan disco duro.cmd
5- Para revisar y limpiar la red local si usas alguna ejecuta el batch scan red local.cmd
2- Descomprime el archivo preferentemente en una unidad extraíble como una memoria flash.
3- Ejecuta el archivo klwk.com que revisará y desinfestara la memoria y archivos de inicio del sistema en caso de estar infestado por el virus.
4- Si necesitas revisar y limpiar los discos duros ejecuta el batch scan disco duro.cmd
5- Para revisar y limpiar la red local si usas alguna ejecuta el batch scan red local.cmd
Lista de virus y otros malware que detecta y elimina del sistema la herramienta klwk.com virus fighting
I-Worm.Zafi.b I-Worm.Bagle.at,au,cx-dw Virus.Win32.Implinker.a Not-a-virus.AdWare.Visiter Trojan.Win32.Krotten Email-Worm.Win32.Brontok.n Backdoor.Win32.Allaple.a Trojan-Spy.Win32.Goldun.mgVerlos todos
Medidas después de desinfectar el sistema
Siempre después de haber limpiado satisfactoriamente el equipo mediante un antivirus u otra herramienta, se debe de seguir las siguientes medidas por precaución.
1- Eliminar todos los archivos temporales de Windows.
2- Eliminar los archivos temporales que almacena el navegador, es la llamada caché.
3- Sustituir el archivo host por uno en blanco.
4- Verificar los servidores DNS.
5- Restaurar las funcionalidades afectadas de Windows, que nos ayudarán a estar más preparados para evitar un futuro contagio.
Más información en las siguientes páginas:2- Eliminar los archivos temporales que almacena el navegador, es la llamada caché.
3- Sustituir el archivo host por uno en blanco.
4- Verificar los servidores DNS.
5- Restaurar las funcionalidades afectadas de Windows, que nos ayudarán a estar más preparados para evitar un futuro contagio.
Como limpiar y eliminar los residuos de virus después de desinfectar el equipo
Reparar y restaurar los daños causados por infecciones de virus en Windows
Reparar y restaurar los daños causados por infecciones de virus en Windows
Existe una herramienta online creada por Conficker Working Group para chequear de forma muy rápida si nuestro equipo se encuentra infectado por alguna de las variantes de Conficker.
Simplemente visita el enlace siguiente Check for Infection y si ves las 6 imágenes de forma correcta es porque tu equipo está limpio, si no, ahí podemos ver los resultados en base a las imágenes que veamos.
Simplemente visita el enlace siguiente Check for Infection y si ves las 6 imágenes de forma correcta es porque tu equipo está limpio, si no, ahí podemos ver los resultados en base a las imágenes que veamos.
Últimas actualizaciones del estado del virus Conficker
El último Reporte de Inteligencia de Seguridad de Microsoft (SIRv12), advierte sobre la continua amenaza actual de Conficker.
Según dicho informe, las detecciones trimestrales han aumentado más de 225% desde principios del 2009. Tan solo en el cuarto trimestre del 2011, el gusano se detectó en 1.7 millones de equipos en todo el mundo.
El estudio mostró que el 92% de las infecciones de Conficker, fueron resultado de contraseñas débiles o robadas.
No hay comentarios:
Publicar un comentario