Tema: Rundll32.exe
Ver Mensaje Individual
  #10 (permalink)  
Antiguo 18/05/2009, 10:29
Avatar de Alfon
Alfon
Colaborador
  
Fecha de Ingreso: octubre-2000
Mensajes: 1.976
Antigüedad: 24 años, 3 meses
Puntos: 14
Respuesta: Rundll32.exe
Yo monté una red como laboratorio para, precisamente, ver como eliminar este virus de la forma más facil y rápida posible. Luego me sirvió un mes más tarde para la vida real en una tred de una empresa. Te cuento.

Esto pasa por no tener, de ser realmente conficker, aplicado un determinado parche (WindowsXP-KB958644-x86-ESN)

Al lio.

- De momento desconecta todos los equipos de la red y, pos supuesto los servidores.
- Con un Pen USB vas a ir máquina por máquina con la utilidad de SATINFO llamada ELITRIIP:
http://www.zonavirus.com/datos/desca...3/elitriip.asp que previamente habrás grabado junto al parche que te proteje contra este gusano: WindowsXP-KB958644-x86-ESN.exe para el caso de un Win XP.
Esta utilidad detectecta Conficker y elimina un servicio, pero no un archivo que lo harás "a mano". De esto se te informará en un archivo en c:\InfoSat.txt que tiene una pinta parecida a esta:

Código: 
	  Wed Mar 18 08:12:58 2009
EliTriIP v5.63  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Servicio Eliminado "ejtzjzxg" -> Conficker
C:\WINNT\SYSTEM32\TUJHZ.DLL -->  Acceso Denegado.
ALERTA. WindowsUpdate Incompleto.
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)
Reinicie para Completar la Limpieza.
- Reinicias, como te dice, el sistema y automáticamente te realizará una exploración. cuando termine borras la dll que te indica.

- Desde el Pen instalas el parche correspondiente al sistema operativo infectado, reinicias y repites el procedimiento con todas las máquinas de la red. siempre desconectadas.

- Cuando esté todas, con un antivirus al dia, las vas conectado una a una. Y vuelves a pasar un antivirus.

Con este procedimento, eliminé el virus y no volvió a reproducirse

De todas formas creo que tienes algo más que el conficker y tendrás, si no quieres formatear, que auditar bien los procesos. Auditar bien los procesos, no vale decir que Explorer es un procesos legítimo porque puede NO serlo, puede tener subprocesos ocultos.

Para ver estos subprocesos ocultos usando una herramienta como Process Explorer (Hay muchas otras qiue lo hacen también):

Ejecutas Process Explorer y en el menu View activar Lower Pane Wiew > Handles, ahí verás mas información que te guiará para ver procesos algo más ocultos, claves involucradas, etc. Una vez detectado un proceso malicioso, desde Process Explorer puedes matarlo, descubrir donde se encuentra., DLLs, clave de registro para borrar, etc. Con Hijackthis también puedes hacerlo pero tendrás que profundizar más y estudiar sus informes para no depender de terceros que, en muchos casos, no tienen ni idea de lo que dicen y te van a confundir aún más.

Puedes usar también msconfig para ver que procesos se arrancan con el sistema. Es facil detectar procesos con nombres raros o con combres formados por números.
__________________
Un saludo,

Alfon
http://seguridadyredes.nireblog.com