Ver Mensaje Individual
  #3 (permalink)  
Antiguo 25/03/2009, 04:25
Avatar de Alfon
Alfon
Colaborador
 
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 1 mes
Puntos: 14
Respuesta: Virus Conficker

Yo monté una red como laboratorio para, precisamente, ver como eliminar este virus de la forma más facil y rápida posible. Te cuento.

Esto pasa por no tener, como dice RunOnce, aplicado el parche que enlaza. curioso, también el detalle que apunta sobre las conexiones a través del firewall. En mi caso intentaba salir a internet para conectar con direcciones tipo http://www.getmyip.org. Ojo también con las contraseñas y routers.

Al lio.

- De momento desconecta todos los equipos de la red y, pos supuesto los servidores.
- Con un Pen USB vas a ir máquina por máquina con la utilidad de SATINFO llamada ELITRIIP:
http://www.zonavirus.com/datos/desca...3/elitriip.asp que previamente habrás grabado junto al parche que te protejecontra este gusano: WindowsXP-KB958644-x86-ESN.exe para el caso de un Win XP.
Esta utilidad detectecta Conficker y elimina un servicio, pero no un archivo que lo harás "a mano". De esto se te informará en un archivo en c:\InfoSat.txt que tiene una pinta parecida a esta:

Código:
	  Wed Mar 18 08:12:58 2009
EliTriIP v5.63  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Servicio Eliminado "ejtzjzxg" -> Conficker
C:\WINNT\SYSTEM32\TUJHZ.DLL -->  Acceso Denegado.
ALERTA. WindowsUpdate Incompleto.
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)
Reinicie para Completar la Limpieza.
- Reinicias, como te dice, el sistema y automáticamente te realizará una exploración. cuando termine borras la dll que te indica.

- Desde el Pen instalas el parche correspondiente al sistema operativo infectado, reinicias y repites el procedimiento con todas las máquinas de la red. siempre desconectadas.

- Cuando esté todas, con un antivirus al dia, las vas conectado una a una.

Con este procedimento, eliminé el virus y no volvió a reproducirse.

Edito para comentar que una vez eliminado y reiniciada la máquina, hay que volver a pasar el antivirus, yo uso NOD32, debidamente actualizado para detectar y eleiminar alguna posible mutación.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com

Última edición por Alfon; 26/03/2009 a las 01:47