Guatewireless.org

Win32/Conficker.B, también conocido como Downup, Downadup y Kido, es un gusano que apareció en octubre de 2008 y ataca los sistemas operativos Microsoft Windows. El gusano se propaga explotando una conocida vulnerabilidad (MS08-067) de desbordamiento de búfer en el servicio de Windows Server para poder propagarse. Este servicio es utilizado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows 7 Beta.

El gusano utiliza una petición RPC especialmente preparados para ejecutar código en el equipo de destino.

Cuando se ejecuta en un ordenador, Win32/Conficker.B desactiva una serie de servicios tales como el sistema de actualización automática de Windows, Centro de seguridad de Windows, Windows Defender y Windows Error Reporting.

A continuación, se conecta a un servidor, de donde recibe la orden de propagarse aún más, recolecta información personal, y descarga e instala otros malware en el ordenador de la víctima. El gusano también se une a ciertos procesos de Windows como svchost.exe, explorer.exe y services.exe.

• Las maquinas deben de ser parchadas y reiniciadas para protegerse en contra de una re-infeccion luego de una limpieza del sistema.
• Tareas programadas son creadas en el sistema para volver a activar el gusano.
• Los archivos Autorun.inf son utilizados para volver a activar el gusano.
• Luego de la deteccion y eliminacion del gusano el sistema debe de ser reiniciado para limpiar la memoria correctamente. Puede requerir mas de un reinicio.
• Todos los sistemas desde Windows 2000 hasta Windows Vista son afectados, incluyendo Windows Server 2008.

Los síntomas de la infección Win32/Conficker.B

Si una computadora ha sido infectada por Win32/Conficker.B presentara los siguientes sintomas:

• Las políticas de las cuentas son restablecidas automáticamente.
• Algunos servicios de Microsoft Windows, como actualizaciones automáticas, el Servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y Error Reporting Services se deshabilitan automáticamente.
• Los controladores de dominio responden lentamente a solicitudes de clientes.
• El sistema de red esta muy congestionado. Esto se puede comprobar con el tráfico de la red gráfico en el Administrador de tareas de Windows.
• En sitios web relacionados con software antivirus, las actualizaciones del sistema de Windows no se pueden acceder.
• Lanza un ataque de diccionario, de fuerza bruta contra las contraseñas de administrador para ayudar a su difusión a través de carpetas compartidas de ADMIN$.

Como proteger nuestra PC de Win32/Conficker.B

Para poder proteger o prevenir que una maquina se infecte del virus Win32/Conficker.B en sus diferentes variantes o mutaciones es necesario seguir los pasos siguientes:

1. Si su equipo ejecuta un sistema Windows 2000 debe de estar actualizado hasta el Service Pack 4, en el caso que su sistema sea Windows XP debe de tener instalado el Service Pack 2 (SP2 – WindowsXP-KB835935-SP2-ENU.exe WindowsXP-KB835935-SP2-ESN.exe).
2. Aplique la actualización de seguridad asociada con MS08-067 (WindowsXP-KB958644-x86-ENU.exe o WindowsXP-KB958644-x86-ESN.exe). Ver el boletín de seguridad para obtener más información acerca de la vulnerabilidad, software afectado, detección e implementación de herramientas y orientación, actualización de seguridad y despliegue de información.
3. Asegúrese de que está corriendo su software antivirus al día de su proveedor de confianza, como el de Microsoft Forefront Client Security y Windows Live OneCare.
4. Haga que sus usuarios utilicen contraseñas fuertes, preferiblemente en combinaciones de numeros y letras y no menores de 8 caracteres.
5. Desactivar la función de autoplay a través del registro o la utilización de políticas de grupo como se indica en el artículo de Microsoft Knowledge Base 967715 (NoAutoRun.REG).

NOTA: Los clientes con Windows 2000, Windows XP y Windows Server 2003 deben implementar la actualización asociada a Microsoft Knowledge Base el artículo 967715 para poder desactivar el éxito característica AutoRun. Windows Vista y Windows Server 2008 los clientes deben implementar la actualización de seguridad asociada a boletín de seguridad de Microsoft MS08-038 para poder desactivar la  característica de AutoRun con éxito.

Bloqueo de dispositivos USB

Para bloquear o eliminar el acceso a los puertos USB de la computadora es necesario seguir los siguientes pasos:

1. Navegar a la carpeta c:WINDOWSinf

2. Hacer clic derecho sobre los archivos usbstor.pnf y usbstor.inf para abrir la ventana de propiedades de cada uno.

3. Sobre la viñeta de seguridad seleccionar todos los usuarios desplegados y activar todas las opciones de denegar para cada uno de estos.

4. Clic en aceptar para guardar los cambios de ambos archivos.

Pasos para eliminar Win32/Conficker.B de los sistemas Windows

En el caso que la computadora ya presente sintomas de una infeccion es necesario  ejecutar los pasos mencionados anteriormente para proteger la computadora (Bloqueo del Autorun, aplicacion de parches y service packs, etc). Luego reiniciar el equipo y ejecutar la ultima version de la herramienta antivirus.

1. Descargamos y ejecutamos la herramienta oficial Microsoft® Windows® Malicious Software Removal Tool (KB890830 windows-kb890830-v2.8.exe)

2. Luego descargamos la ultima version de McAfee Avert Stinger y esperamos a que termine.

3. Si Stinger encontro algun virus y  no puede eliminar alguno de los servicios o archivos infectados debemos reiniciar windows en modo a prueba de fallos y volver a ejecutar la herramienta.

Otros enlaces de ayuda | Top Ten Software Antivirus 2021 | Wikipedia – Microsoft – Microsoft comunicado oficial y desinfeccion empresarial