Virus Conficker

newbery04 · #1 (**permalink**) 22/03/2009, 16:49

hola a todos,
tengo una red de 50 equipos donde tengo todas infectadas con este virus.
cada equipo tiene un carpeta compartida donde encuentro siempre archivos .exe o khs q se creen solos.
los borro y al rato estan de nuevo.
he probado todas las soluciones que leido en internet sobre limpiar dicho virus, pero no me han dado resultado.
hay alguna forma de detectar cual es el equipo que tenga este virus y le este repartiendo a los demas?
me queda alguna alternativa de solucionar esto sin tener que formatear los 50 equipos?
desde ya muchas gracias,
saludos ...

RunOnce · #2 (**permalink**) 24/03/2009, 16:49

Hola, en primer lugar no se que AV usaras pero ese virus es detectado por muchos antivirus.

Bueno, la solucion pasa porque controles los firewall de los equipos, actualiza o cambia los AV,s de los equipos por otros que te den mas seguridad y actualiza desde este enlace.

http://www.microsoft.com/technet/sec.../MS08-067.mspx

Alfon · #3 (**permalink**) 25/03/2009, 04:25

Yo monté una red como laboratorio para, precisamente, ver como eliminar este virus de la forma más facil y rápida posible. Te cuento.

Esto pasa por no tener, como dice RunOnce, aplicado el parche que enlaza. curioso, también el detalle que apunta sobre las conexiones a través del firewall. En mi caso intentaba salir a internet para conectar con direcciones tipo http://www.getmyip.org. Ojo también con las contraseñas y routers.

Al lio.

- De momento desconecta todos los equipos de la red y, pos supuesto los servidores.
- Con un Pen USB vas a ir máquina por máquina con la utilidad de SATINFO llamada ELITRIIP:
http://www.zonavirus.com/datos/desca...3/elitriip.asp que previamente habrás grabado junto al parche que te protejecontra este gusano: WindowsXP-KB958644-x86-ESN.exe para el caso de un Win XP.
Esta utilidad detectecta Conficker y elimina un servicio, pero no un archivo que lo harás "a mano". De esto se te informará en un archivo en c:\InfoSat.txt que tiene una pinta parecida a esta:

Código:

	  Wed Mar 18 08:12:58 2009
EliTriIP v5.63  (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Marzo del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Servicio Eliminado "ejtzjzxg" -> Conficker
C:\WINNT\SYSTEM32\TUJHZ.DLL -->  Acceso Denegado.
ALERTA. WindowsUpdate Incompleto.
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)
Reinicie para Completar la Limpieza.

- Reinicias, como te dice, el sistema y automáticamente te realizará una exploración. cuando termine borras la dll que te indica.

- Desde el Pen instalas el parche correspondiente al sistema operativo infectado, reinicias y repites el procedimiento con todas las máquinas de la red. siempre desconectadas.

- Cuando esté todas, con un antivirus al dia, las vas conectado una a una.

Con este procedimento, eliminé el virus y no volvió a reproducirse.

Edito para comentar que una vez eliminado y reiniciada la máquina, hay que volver a pasar el antivirus, yo uso NOD32, debidamente actualizado para detectar y eleiminar alguna posible mutación.

Malenko · #4 (**permalink**) 25/03/2009, 08:16

De todas formas, hace relativamente poco han salido nuevos plugins que se autoinstala el virus, por lo que su comportamiento puede variar conforme otros usuarios infectados.

Alfon · #5 (**permalink**) 26/03/2009, 01:45

Si, bueno, pero tienes eliminado lo que querías y debidamente parcheado el sistema para que no vuelvan a aprovechar la vulnerabilidad. Además, la mayoría de los antivirus, a día de hoy, ya detectan algunas mutaciones como Conficker.C , etc.

newbery04 · #6 (**permalink**) 26/03/2009, 05:47

muchas gracias por su ayuda.
ya me pongo en campaña para solucionar esto.
cualquier otro dato a tener en cuenta sera bienvenido.
saludos.

Alfon · #7 (**permalink**) 26/03/2009, 07:24

Newbery04, revisa también el tema de las mutaciones y demás. Hay herramientas específicas para Conficker, Conficker.B y Conficker.C por ejemplo en ESET y Symantec. Algina de ellas son:

- EConfickerRemover
- FixDwndp
- f-downadup

Eos · #8 (**permalink**) 31/03/2009, 13:44

Estimados,

Hola

Al brindar soluciones de seguridad siempre se debe tener en cuenta que no existe una solucion unica y magica para cada caso sino que la seguridad es la gestión adecuada de los recursos por lo que se debe contar con distintas capas de seguridad. En el caso de conficker estas capas son las actualizaciones del SO, el AV activado y actualizado y el firewall activo para bloquear la actividad del gusano.
Además, en el caso de una infección se debe proceder de forma ordenada y dando el tiempo suficiente de investigación a cada caso en particular. En este caso lo recomendable es aislar de la red por cierto tiempo los equipos infectados, limpiarlos y asegurarse que los mismos no se infectarán con otros equipos de la red,

RunOnce · #9 (**permalink**) 31/03/2009, 15:05

Quizas sea fake, pero bueno esto lo he leido hoy en la prensa,

http://www.20minutos.es/noticia/4598...nficker/abril/

Alfon · #10 (**permalink**) 01/04/2009, 00:17

No RunOnce no es un fake. Yo he visto esta misma noticia en páginas de seguridad muy confiables desde hace ya dias.

Darkgrim666 · #11 (**permalink**) 11/04/2009, 20:28

Los archivos que guarda ese virus se hallan en:

c:/documents and settings/Networkservice/Configuración local/archivos temporales de internet/

Borren lo que está ahí, puede ayudar un poco

Por otro lado, el virus se esconde en C:/windows/system32 con el nombre de svchost.exe pero no vayan a borrar el archivo que está ahí porque pueden dañar su computador, si alguien sabe que hacer con esa información que me avise.