[KB2209] Conficker – ¿Cómo me protejo?

Problema

El riesgo de exposición a la amenaza Win32/Conficker se debe a una vulnerabilidad de los sistemas operativos de Microsoft (Microsoft creó un parche para esta vulnerabilidad en Octubre de 2008) Para ayudar a evitar la infección causada por las vulnerabilidades de los sistemas operativos de Microsoft, asegúrese de que su equipo se encuentre siempre actualizado con la última actualización de Microsoft Windows. Puede encontrar las últimas actualizaciones en: http://update.microsoft.com/

Para protegerse de Conficker, siga los pasos contenidos en este artículo. O haga clic en el enlace adecuado para avanzar a la sección específica:

 

Solución

Previniendo la infección

A - Descargue los parches de seguridad de Microsoft

Si no desea descargar todas las actualizaciones de Windows pero quiere asegurar al menos la protección contra la amenaza Win32/Conficker, descargue los parches (KB95864, KB957097 y KB958687) de estos Boletines de Seguridad de Windows:

B - Deshabilite Autorun y Autoplay (Windows XP y Windows Vista)

Usted podría necesitar deshabilitar las funcionalidades Autorun y Autoplay en su sistema Windows para prevenir que los desarrolladores de software maliciosos abusen de esas fallas de seguridad. Los dispositivos USB y otros medios extraíbles, que son accedidos por medio de las funcionalidades Autorun/Autoplay cada vez (de manera predeterminada) que usted los conecta a su equipo, son los portadores de virus más frecuentes por estos días. Microsoft Windows Autorun y Autoplay son funcionalidades que en principio contribuyen a simplificar la ejecución de los contenidos de los Discos Compactos:

(i) ejecutando el archivo Autorun.inf (y cualquier posible instrucción maliciosa que contenga)  - vulnerabilidad del Autorun

(ii) abriendo una ventana emergente que detallan las acciones disponibles (algunas de las cuales pueden ser disparadores hostiles procedentes un archivo Autorun.inf malicioso) - Vulnerabilidad del Autoplay

NOTA:

Algunos términos utilizados en los siguientes pasos podrían diferir levemente, dependiendo de su navegador web. 

  1. Si desea deshabilitar las funcionalidades Autorun y Autoplay, haga clic derecho sobre este enlace para descargar el archivo  DisableAutorun.reg yseleccione la opción Guardar enlace como...
  1. En la ventana de Guardar como asegúrese de que:

    (i) en el menú desplegable Tipo se encuentre seleccionada la opción Todos los archivos o Entradas de registro (*.reg) (o similar, dependiendo de su navegador)

    (ii) el campo Nombre contenga el nombre exacto del archivo de registro (por ejemplo DisableAutorun.reg)
     

¡Importante!

El archivo descargado debe ser guardado con la extensión .reg para poder funcionar apropiadamente. Si al hacer doble clic sobre el archivo este no se ejecuta haga clic derecho sobre el ícono del archivo, seleccione la opción Propiedades y edite el nombre del archivo dentro de la solapa General para asegurarse de que los últimos cuatro caracteres sean .reg. Confirme la operación aceptando todas solicitudes que aparezcan en pantalla.  

  1. Haga clic en Guardar. Confirme todas las solicitudes  para guardar el archivo de registro.
  1. Haga doble clic sobre el archivo descargado y confirme la operación agregando la entrada del registro haciendo clic en . Presione Aceptar para finalizar haga clic derecho sobre el ícono del archivo, seleccione la opción.

Advertencia:

Luego de importar el archivo descargado en su Registro de  Windows, cualquier archivo Autorun.inf será ignorado por su sistema. Mientras esta operación deshabilitará la función de Autorun completamente, la funcionalidad Autoplay continuará apareciendo, de todos modos excluirá las opciones peligrosas de archivos  Autorun.inf. Debe tener en cuenta que tales medidas  de seguridad preventivas no erradican potenciales infecciones con códigos maliciosos. Recomendamos tomar precauciones cuando abra/ejecute/haga clic sobre archivos desconocidos.

B2 - ¿Cómo reactivar el Autorun y el Autoplay (Windows XP y Windows Vista)?

Si necesita deshacer los cambios realizados mediante las instrucciones detalladas más arriba en la sección B haga clic derecho en este enlace para descargar el archivo ReenableAutorun.reg y repita las instrucciones de la sección B (arriba) solamente esta vez utilizando el archivo ReenableAutorun.reg. 

¡Importante!

Necesitará reiniciar su equipo para que los cambios surtan efecto.

NOTA:

Además de descargar e instalar los últimos parches de seguridad, podrá tomar otras precauciones para reducir el riesgo de infección. Haga clic aquí para conocer más estrategias para minimizar el riesgo de ataques por parte de códigos maliciosos. Si usted es administrador de una red haga clic aquí para obtener instrucciones para minimizar infecciones en su red.  

Pasos de limpieza (un equipo) 

Si encuentra o ha encontrado el código malicioso Win32/Conficker, una versión completamente actualizada de un producto de seguridad ESET (versión 3.0 o superior) podrá eliminar la infección.  

¡Importante!

Para evitar reinfectar el sistema operativo, este debe estar actualizado utilizando los enlaces detallados en la sección A.

  1. Desconecte el equipo infectado de la red y de Internet.
  1. Utilice una PC desinfectada para descargar el respectivo parche de Windows desde la sección A. Instale los parches.
  1. Redefina las contraseñas de su sistema para las cuentas de administrador usando otras más sofisticadas. Tenga en cuenta que la infiltración puede expandirse a través de carpetas compartidas.

 (i.) Presione CTRL+ALT+DELETE en su teclado y luego haga clic en Cambiar contraseña...

(ii.) Escriba su contraseña anterior, ingrese la nueva, reitere la escritura de la nueva contraseña para confirmarla y por último presione ENTER.

  1. Descargue una aplicación ajena a ESET (nuevamente, empleando una PC no infectada) que removerá el gusano. Si no posee un producto de seguridad ESET (3.0 o posterior) instalado podrá descargar y ejecutar nuestra herramienta de limpieza:
    http://download.eset.com/special/ESETConfickerCleaner.exe

  2. Descargue e instalela nueva versión de su producto ESET.
  1. Actualice su base de datos de firmas de virus

Para verificar que esta herramienta de limpieza ha eliminado la amenaza Conficker, ejecute nuevamente el limpiador y luego realice un análisis del equipo con su producto de seguridad ESET

 

 

Luego de ejecutar exitosamente la herramienta de limpieza de ESET  recomendamos que lea el siguiente artículo informativo de Microsoft sobre los parches de seguridad importantes y cambios de grupo recomendados.

NOTA:

Si la herramienta de limpieza de ESET no remueve Conficker en su totalidad acceda al siguiente artículo de Microsoft que contiene instrucciones sobre la eliminación manual de esa amenaza. 

Para maximizar la protección contra futuras amenazas asegúrese de que su sistema operativo posea todos los parches de acuerdo a las recomendaciones de Microsoft y que su producto ESET se encuentre actualizado.

¡Importante!

Para obtener mayores detalles acerca de la protección contra el gusano Conficker por favor acceda al siguiente artículo de nuestro Blog: 1000 días de Conficker

Pasos de limpieza (Redes)

  1. Si no desea descargar todas las actualizaciones de Windows pero desea asegurarse de que se encuentra protegido contra las amenazas Win32/Conficker, descargue e instale los parches (KB958644, KB957097 y KB958687) en el los siguientes Boletines de seguridad de Microsoft en todos los equipos de su red:

    NOTA:

    Los parches que aparecen debajo no son necesarios para Windows 7 o Server 2008 r2 ya que el exploit utilizado por Conficker no existe en esos sistemas operativos. De cualquier modo, Windows Server 2008 requerirá los parches.

  1. Instale y actualice la solución de seguridad ESET en todos los equipos:
  1. Cambie todas las contraseñas de la red debido a que Conficker se encontrará usando cualquier contraseña con la cual se haya iniciado sesión o haya sido obtenida mediante fuerza bruta.
  1.   Ejecute la Herramienta de ESET de remoción de Conficker en cada equipo.
  1. Quite cualquier tarea programada que haya sido creada por Win32/Conficker utilizando los siguientes comandos en los clientes:

    at /delete /yes

Si los pasos descriptos arriba no resuelven el suceso, cambie todas las contraseñas y luego efectúe los siguientes pasos para identificar cuáles son los equipos que aún intentan propagar la infección:

  1. Active la auditoría de eventos de inicio de sesión fallidos:
  1. En su Controlador de dominio acceda a Inicio → Herramientas administrativas → Directiva de seguridad local.
  2. Diríjase a Configuración de seguridad → Directivas locales ? Directivas de auditoría → Auditar eventos de inicio de sesión.
  3. Asegúrese de que Auditar eventos de inicio de sesión se encuentre configurado para registrar todos los eventos Correctos y Erróneos.
  1. Monitoree el registro de eventos de seguridad en su Controlador de dominio para los ID de evento de 529 (si no ocurren eventos 529, entonces Win32/Conficker utiliza contraseñas administrativas correctas - por lo que sus contraseñas deberán ser cambiadas).
  1. Cuando visualice las propiedades del evento aparecerá "Nombre del equipo. Este es uno de los equipos, o el único, que intenta infectar a los restantes.
  1. Acceda a los equipos identificados y repita los pasos 1-5.

Luego de completar los pasos de Pasos de limpieza (Redes), todas las Contraseñas administrativas deberían cambiarse nuevamente para asegurarse de que Conficker cuente con esos datos. Si Conficker aún muestra amenazas a pesar de haber "emparchado" todos los equipos se deberá a que continúa existiendo una máquina sin los correspondientes parches o en ella no se instaló y actualizó el producto ESET.