miércoles, 1 de abril de 2009

Acerca de el nuevo virus CONFICKER



El programa dañino, conocido con los nombres de Conficker, Downadup o Kido, fue descubierto por primera vez en octubre de 2008.

Aunque Microsoft lanzó un “parche” de seguridad, se cree que el gusano ya ha infectado 3,5 millones de computadores.

Los expertos aseguran que esta cifra podría ser mucho mayor y afirman que los usuarios deberían tener programas antivirus actualizados e instalar el “parche” de Microsoft MS08-067.

Según Microsoft, el gusano informático funciona buscando un fichero ejecutable de Windows llamado “services.exe” y pasa a formar parte de ese código.

Entonces se copia a sí mismo en el sistema de ficheros de Windows como un fichero más del tipo conocido como “dll”. Se da a sí mismo un nombre de entre 5 y 8 caracteres, y modifica el registro, que enumera configuraciones clave de Windows para poner en funcionamiento el fichero infectado dll como un servicio.

Una vez está en marcha, el gusano crea un servidor HTTP, cambia el punto de restauración del sistema del computador (haciendo más difícil recuperar el sistema infectado) y entonces descarga ficheros del sitio de internet del pirata informático.

La mayoría de los programas dañinos utiliza uno de los pocos sitios desde los que puede descargar ficheros, haciendo que sean fáciles de localizar y cerrar.

Pero Conficker funciona de manera diferente.
------------------------------------------------
este virus se puede eliminar usando una herramienta de kaspersky
llamada klwk.com
que se puede descargar aqui
http://support.kaspersky.com/downloads/utils/klwk.zip
esto no solo desinfecta y borra el virus sino que tambien borra
los archivos que crean para duplicarse y expandirse.

tambien borra todos estos otros virus
# I-Worm.Zafi.b
# I-Worm.Bagle.at,au,cx-dw
# Virus.Win32.Implinker.a
# Not-a-virus.AdWare.Visiter
# Trojan.Win32.Krotten
# Email-Worm.Win32.Brontok.n
# Backdoor.Win32.Allaple.a
# Trojan-Spy.Win32.Goldun.mg
# Email-Worm.Win32.Warezov
# Virus.Win32.VB.he
# IM-Worm.Win32.Sohanad.as
# P2P-Worm.Win32.Malas.b
# Virus.Win32.AutoRun.acw
# Worm.Win32.VB.jn
# Trojan.Win32.KillAV.nj
# Worm.Win32.AutoRun.cby
# Trojan.Win32.Agent.aec
# Trojan-Downloader.Win32.Todon.an
# Trojan-Downloader.Win32.Losabel.ap
# Worm.Win32.AutoRun.czz,daa,dhq,dfx
# Net-Worm.Win32.Rovud.a-c
# Trojan.Win32.ConnectionServices.x-aa
# Worm.Win32.AutoRun.dtx
# Worm.Win32.AutoRun.hr
# Backdoor.Win32.Agent.lad
# not-a-virus:FraudTool.Win32.UltimateDefender.cm
# Trojan-Downloader.Win32.Agent.wbu
# Backdoor.Win32.Small.cyb
# not-a-virus:FraudTool.Win32.XPSecurityCenter.c
# not-a-virus:Downloader.Win32.VistaAntivirus.a
# not-a-virus:FraudTool.Win32.UltimateAntivirus.an
# not-a-virus:FraudTool.Win32.UltimateAntivirus.ap
# Trojan-Spy.Win32.Zbot.dlh
# Trojan-Downloader.Win32.Small.abpz
# Rootkit.Win32.Ressdt.br
# Worm.Win32.AutoRun.lsf
# Worm.Win32.AutoRun.epo
# Worm.Win32.AutoRun.enw
# Backdoor.Win32.UltimateDefender.a
# Worm.Win32.AutoRun.pwi
# Worm.Win32.AutoRun.pfh
# Worm.Win32.AutoRun.qhk
# Worm.Win32.AutoRun.ouu
# Worm.Win32.AutoRun.bnb
# Worm.Win32.AutoRun.ll
# AdWare.Win32.Cinmus.sxy
# Trojan.Win32.Autoit.eo
# Worm.Win32.AutoRun.sct
# Worm.Win32.AutoRun.qkn
# not-a-virus:AdWare.Win32.Cinmus.wsu
# Trojan-Ransom.Win32.Taras.a
# Trojan-Dropper.Win32.Agent.ztu
# Trojan-Downloader.Win32.Agent.Apnd
# Worm.Win32.Autorun.qpa
# Net-Worm.Win32.Kido.j
# Worm.Win32.Autorun.dcw
# Trojan.Win32.Feedel.gen
# Trojan.Win32.Pakes.mak
# Net-Worm.Win32.Kido.r
# Net-Worm.Win32.Kido.t
# Worm.VBS.Autorun.cq
# Worm.Win32.Pinit.ac
# Worm.Win32.Pinit.ae
# Worm.Win32.Pinit.af
# Worm.Win32.Pinit.gen
# Net-Worm.Win32.Kido.bw
# Net-Worm.Win32.Kido.db
# Net-Worm.Win32.Kido.fk
# Net-Worm.Win32.Kido.fx
# Net-Worm.Win32.Kido.fo
# Net-Worm.Win32.Kido.s
# Net-Worm.Win32.Kido.dh
# Net-Worm.Win32.Kido.ee
# Net-Worm.Win32.Kido.gh
# Net-Worm.Win32.Kido.fa
# Net-Worm.Win32.Kido.gy
# Net-Worm.Win32.Kido.ca
# Net-Worm.Win32.Kido.by
# Net-Worm.Win32.Kido.if
# Net-Worm.Win32.Kido.eo
# Net-Worm.Win32.Kido.bx
# Net-Worm.Win32.Kido.bh
# Net-Worm.Win32.Kido.bg
# Net-Worm.Win32.Kido.ha
# Net-Worm.Win32.Kido.hr
# Net-Worm.Win32.Kido.da
# Net-Worm.Win32.Kido.dz
# Net-Worm.Win32.Kido.cg
# Net-Worm.Win32.Kido.eg
# Net-Worm.Win32.Kido.eq
# Net-Worm.Win32.Kido.bz
# Net-Worm.Win32.Kido.do
# Net-Worm.Win32.Kido.fw
# Net-Worm.Win32.Kido.du
# Net-Worm.Win32.Kido.cv
# Net-Worm.Win32.Kido.dv
# Net-Worm.Win32.Kido.dq
# Net-Worm.Win32.Kido.ed
# Net-Worm.Win32.Kido.em
# Net-Worm.Win32.Kido.bo
# Net-Worm.Win32.Kido.bk
# Net-Worm.Win32.Kido.bm
# Net-Worm.Win32.Kido.cs
# Net-Worm.Win32.Kido.ia
# Net-Worm.Win32.Kido.g
-------------------------------------------------

Downandup vuelve a cobrar fuerza después de que ya lo anunciaramos el pasado 28 de Noviembre, y es que Downandup aprovecha el gusano conficker para infectar a los ordenadores.

Además, el gusano conficker es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada, por lo que si aun no está infectado, le recomendamos se haga con un antivirus totalmente actualizado. Como siempre la infección suele realizarse aprovechando las vulnerabilidades del sistema operativo Microsoft y a pesar de que la empresa de Redmon ha sacado ya el parche correspondiente para bloquear esta vulnerabilidad (Octubre MS08-067(+)), aun hoy en dia son muchos los equipos susceptibles de ser infectados, sobre todo porque el parche de seguridad no impide la propagación del mismo.

Las formas de infección mas frecuentes son:
A través de la vulnerabilidad de windows
Carpetas con contenido compartido con contraseñas débiles
Dipositivos extraibles (discos duros, lápices USB, tarjetas de memoria fotográfica) que contengan un fichero autorun.inf (ojo, no todos los ficheros autorun.inf son virus) que copia el gusano en el ordenador del dispositivo conectado.
Como saber si se está infectado

Cuando downdandup (alias conficker) infecta un equipo ejecuta los siguientes pasos:
copia el siguiente fichero
%System% \[Nombre del fichero aleatorio].dll
Borra los puntos de restauración creados por el usuario
Crea el servicio netsvcs tal y como sigue:
Nombre: netsvcs
%SystemRoot%\\system32\\svchost.exe -k netsvcs
Crea la siguiente clave en el registro
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
Valor: “ServiceDll” = “[PathToWorm]“
El gusano se conecta a las siguientes URL y así consiguen tu direccion IP
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Descarga un fichero de la siguiente URL:
http://trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]
Dentro del ordenador infectado, el gusano downandup crea un servidor http, es decir, nuestro ordenador se convierte en un servidor web, en un puerto aleatorio
http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]
Se conecta con otros equipos remotos enviando la direccion que hemos visto en el punto anterior, por lo que consigue que este ordenador se convierta en un nuevo emisor del gusano, infectando otros ordenadores.
El router se conecta a algún router UPnP para abrir el puerto http que permitirá, a continuación, encontrar nuestra tarjeta de red y abrir el puerto aleatorio que se creó anteriormente, dejando una puerta abierta a nuestra red a cualquier atacante.
El gusano intenta descargar un archivos de datos desde la URL:
[http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]
Una vez llegados a este punto, el gusano downandup se propaga, explotando la vulnerabilidad del Servidor de Servicio de Microsoft Windows.
Siguendo con la obra de ingeniería, contacta con las URL siguientes para capturar la fecha:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
Y utiliza la información resultante para generar una lista de nombres de dominios usados por el atacante para instalar y descargar ficheros adicionales de control en el ordenador atacado.

Una obra de ingenería, ¿no creeis?
Como borrar el gusano Downandup

En caso de que, como hemos dicho, no haya borrado los puntos de restauracion, pruebe a usar la “Restauracion del Sistema” con lo que eliminará el virus volviendo al ultimo punto de restauracion válido de la configuracion del Windows.

En caso de que no pueda volver a un punto de restauracion anterior, desactive temporalmente la Restauracion del Sistema y siga los siguientes pasos para eliminar el gusano Downandup
Inicio > Ejecutar
Escriba: services.msc y pulse Aceptar
Busque el servicio con el nombre “netsvcs” y deténgalo
Cambie el “Tipo de Inicio” a Manual (por defecto, sale como automático)
Reinicie el equipo en Modo seguro o Modo a prueba de fallos
Con un antivirus actualizado, busque todas las copias del virus en su ordenador
En caso de que el antivirus no pueda reparar o borrar los ficheros, abra el administrador de tareas de windows y, en la pestaña de Procesos, busque el archivo infectado que está siendo ejecutado y deténgalo.
Editar el registro
buscar y eliminar la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
Eliminar archivos temporales
Actualizar el software con el parche de Microsoft MS08-067(+)
Reiniciar el ordenador
Volver a pasar el antivirus para comprobar que todo está correcto.
Como evitar ser infectados por Downandup

Como siempre, estos virus hacen su trabajo debido a la relajación por parte del usuario a la hora de proteger su equipo. Como ya hemos dicho, un buen antivirus, así como tener actualizado el sistema operativo, son los mejores consejos. Además: proteger con contraseñas fuertes las carpetas compartidas, sobre todo en windows Vista y windows XP y escanear los dipositivos extraibles antes de insertarlos en el ordenadores.

Como es conocido el downandup en internet
WORM_DOWNAD.A (Trend Micro)
W32/Confick-A (Sophos)
W32/Conficker.A.worm (Panda Security)
Trj/Downloader.VAU (Panda Security)
W32/Conficker.worm (McAfee)
W32.Downadup (Symantec)
Trojan.Downloader-59911 (ClamAV)
Downadup.AL (F-Secure)
Worm:W32/Downadup.AA (F-Secure)
Win32/Conficker.A (Computer Associates)
W32/Downldr2.EXAE (Authentium)
Trojan.Downloader.JLIW (Bit Defender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
Net-Worm.Win32.Kido.t (Kaspersky)
W32/Downadup (PerAntivirus)
Trojan/Downloader.Agent.aqfw (Hacksoft)
W32/DownAdup (Hacksoft)
TrojanDownloader.Agent.aqfw (Quick Heal)
Win32/Conficker.A (ESET)
Worm.Win32.Conficker!IK (Emsisoft)
TR/Dldr.Agent.aqfw (AVIRA)
Trojan.DownLoad.16849 (Doctor Web)
Downloader.Agent.APKO (AVG)
W32/Conficker.A!worm (Fortinet)
Trojan.Win32.Downloader.62976.AJ (Hauri)
Win32/Conficker.worm.62976 (Ahn Lab)
Trojan.Disken.B (VirusBuster)
Trojan.Downloader.JLIW (G DATA)
Worm.Win32.Conficker (Ikarus)
Worm:Win32/Conficker.A (Microsoft)
Trojan-Downloader.Agent (PC Tools)
Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda)
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)