Problema
El riesgo de exposición a la amenaza Win32/Conficker se debe a una vulnerabilidad de los sistemas operativos de Microsoft (Microsoft creó un parche para esta vulnerabilidad en Octubre de 2008) Para ayudar a evitar la infección causada por las vulnerabilidades de los sistemas operativos de Microsoft, asegúrese de que su equipo se encuentre siempre actualizado con la última actualización de Microsoft Windows. Puede encontrar las últimas actualizaciones en: http://update.microsoft.com/
Para protegerse de Conficker, siga los pasos contenidos en este artículo. O haga clic en el enlace adecuado para avanzar a la sección específica:
Solución
A - Descargue los parches de seguridad de Microsoft
Si no desea descargar todas las actualizaciones de Windows pero quiere asegurar al menos la protección contra la amenaza Win32/Conficker, descargue los parches (KB95864, KB957097 y KB958687) de estos Boletines de Seguridad de Windows:
- Boletín de seguridad de Microsoft MS08-067 - Crítica Una vulnerabilidad en el servicio de servidor podría permitir la ejecución remota de código
- Boletín de seguridad de Microsoft MS08-068 - Importante - Una vulnerabilidad en SMB podría permitir la ejecución remota de código
- Boletín de seguridad de Microsoft MS09-001 - Crítica - Vulnerabilidades en SMB podrían permitir la ejecución remota de código
B - Deshabilite Autorun y Autoplay (Windows XP y Windows Vista)
Usted podría necesitar deshabilitar las funcionalidades Autorun y Autoplay en su sistema Windows para prevenir que los desarrolladores de software maliciosos abusen de esas fallas de seguridad. Los dispositivos USB y otros medios extraíbles, que son accedidos por medio de las funcionalidades Autorun/Autoplay cada vez (de manera predeterminada) que usted los conecta a su equipo, son los portadores de virus más frecuentes por estos días. Microsoft Windows Autorun y Autoplay son funcionalidades que en principio contribuyen a simplificar la ejecución de los contenidos de los Discos Compactos:
(i) ejecutando el archivo Autorun.inf (y cualquier posible instrucción maliciosa que contenga) - vulnerabilidad del Autorun
(ii) abriendo una ventana emergente que detallan las acciones disponibles (algunas de las cuales pueden ser disparadores hostiles procedentes un archivo Autorun.inf malicioso) - Vulnerabilidad del Autoplay
- Si desea deshabilitar las funcionalidades Autorun y Autoplay, haga clic derecho sobre este enlace para descargar el archivo DisableAutorun.reg yseleccione la opción Guardar enlace como...
- En la ventana de Guardar como asegúrese de que:
(i) en el menú desplegable Tipo se encuentre seleccionada la opción Todos los archivos o Entradas de registro (*.reg) (o similar, dependiendo de su navegador)
(ii) el campo Nombre contenga el nombre exacto del archivo de registro (por ejemplo DisableAutorun.reg)
- Haga clic en Guardar. Confirme todas las solicitudes para guardar el archivo de registro.
- Haga doble clic sobre el archivo descargado y confirme la operación agregando la entrada del registro haciendo clic en Sí. Presione Aceptar para finalizar haga clic derecho sobre el ícono del archivo, seleccione la opción.
B2 - ¿Cómo reactivar el Autorun y el Autoplay (Windows XP y Windows Vista)?
Si necesita deshacer los cambios realizados mediante las instrucciones detalladas más arriba en la sección B haga clic derecho en este enlace para descargar el archivo ReenableAutorun.reg y repita las instrucciones de la sección B (arriba) solamente esta vez utilizando el archivo ReenableAutorun.reg.
Pasos de limpieza (un equipo)
Si encuentra o ha encontrado el código malicioso Win32/Conficker, una versión completamente actualizada de un producto de seguridad ESET (versión 3.0 o superior) podrá eliminar la infección.
- Desconecte el equipo infectado de la red y de Internet.
- Utilice una PC desinfectada para descargar el respectivo parche de Windows desde la sección A. Instale los parches.
- Redefina las contraseñas de su sistema para las cuentas de administrador usando otras más sofisticadas. Tenga en cuenta que la infiltración puede expandirse a través de carpetas compartidas.
(i.) Presione CTRL+ALT+DELETE en su teclado y luego haga clic en Cambiar contraseña...
(ii.) Escriba su contraseña anterior, ingrese la nueva, reitere la escritura de la nueva contraseña para confirmarla y por último presione ENTER.
- Descargue una aplicación ajena a ESET (nuevamente, empleando una PC no infectada) que removerá el gusano. Si no posee un producto de seguridad ESET (3.0 o posterior) instalado podrá descargar y ejecutar nuestra herramienta de limpieza:
http://download.eset.com/special/ESETConfickerCleaner.exe - Descargue e instalela nueva versión de su producto ESET.
Para verificar que esta herramienta de limpieza ha eliminado la amenaza Conficker, ejecute nuevamente el limpiador y luego realice un análisis del equipo con su producto de seguridad ESET
Luego de ejecutar exitosamente la herramienta de limpieza de ESET recomendamos que lea el siguiente artículo informativo de Microsoft sobre los parches de seguridad importantes y cambios de grupo recomendados.
Para maximizar la protección contra futuras amenazas asegúrese de que su sistema operativo posea todos los parches de acuerdo a las recomendaciones de Microsoft y que su producto ESET se encuentre actualizado.
- Si no desea descargar todas las actualizaciones de Windows pero desea asegurarse de que se encuentra protegido contra las amenazas Win32/Conficker, descargue e instale los parches (KB958644, KB957097 y KB958687) en el los siguientes Boletines de seguridad de Microsoft en todos los equipos de su red:
- Boletín de seguridad de Microsoft MS08-067 - Crítica
- Boletín de seguridad de Microsoft MS08-068 - Importante
- Boletín de seguridad de Microsoft MS09-001 - Crítica
- Instale y actualice la solución de seguridad ESET en todos los equipos:
- ¿Cómo descargo e instalo ESET NOD32 Antivirus Business Edition en un servidor? (4.x)
- ¿Cómo saber si mi ESET Smart Security/ESET NOD32 Antivirus se actualiza correctamente?
- Cambie todas las contraseñas de la red debido a que Conficker se encontrará usando cualquier contraseña con la cual se haya iniciado sesión o haya sido obtenida mediante fuerza bruta.
- Ejecute la Herramienta de ESET de remoción de Conficker en cada equipo.
- Quite cualquier tarea programada que haya sido creada por Win32/Conficker utilizando los siguientes comandos en los clientes:
at /delete /yes
Si los pasos descriptos arriba no resuelven el suceso, cambie todas las contraseñas y luego efectúe los siguientes pasos para identificar cuáles son los equipos que aún intentan propagar la infección:
- Active la auditoría de eventos de inicio de sesión fallidos:
- En su Controlador de dominio acceda a Inicio → Herramientas administrativas → Directiva de seguridad local.
- Diríjase a Configuración de seguridad → Directivas locales ? Directivas de auditoría → Auditar eventos de inicio de sesión.
- Asegúrese de que Auditar eventos de inicio de sesión se encuentre configurado para registrar todos los eventos Correctos y Erróneos.
- Monitoree el registro de eventos de seguridad en su Controlador de dominio para los ID de evento de 529 (si no ocurren eventos 529, entonces Win32/Conficker utiliza contraseñas administrativas correctas - por lo que sus contraseñas deberán ser cambiadas).
- Cuando visualice las propiedades del evento aparecerá "Nombre del equipo. Este es uno de los equipos, o el único, que intenta infectar a los restantes.
- Acceda a los equipos identificados y repita los pasos 1-5.
Luego de completar los pasos de Pasos de limpieza (Redes), todas las Contraseñas administrativas deberían cambiarse nuevamente para asegurarse de que Conficker cuente con esos datos. Si Conficker aún muestra amenazas a pesar de haber "emparchado" todos los equipos se deberá a que continúa existiendo una máquina sin los correspondientes parches o en ella no se instaló y actualizó el producto ESET.