Elimina Conficker y mantén la red a salvo

Con las infecciones por Conficker aún en propagación, las buenas noticias son que hay formas para protegerse de él y limpiar vuestro ordenador en caso de que hayáis resultado infectados.

La saga de Conficker comenzó en Noviembre de 2008, cuando Microsoft informó de un gusano que aprovechaba un fallo en un servicio de Windows Server que la compañía “parcheó” en Octubre de 2008. Desde entonces, el gusano ha infectado millones de máquinas.

La variante más prolífica, identificada por Microsoft como Win32/Conficker.B, se propaga no sólo gracias al fallo de Windows, sino también a través de las carpetas compartidas de red, identificándose en máquinas que utilizan contraseñas de mínimo nivel de seguridad. También se propaga copiándose a sí mismo en medios extraíbles, un método de ataque que lo ha hecho subir como la espuma durante el pasado año.

Ante esto, ¿qué pueden hacer los usuarios para protegerse de esta amenaza? Hay varias respuestas. La primera es obvia: aplicar el parche de Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), y asegurarse de que el antivirus esta actualizando con la última versión disponible del identificador de firmas. Aún así, también hay algunas alternativas para los que, por cualquier razón, no puedan aplicar el parche. Por ejemplo, se puede desactivar el servicio “Examinador de equipos” de Windows Server, y bloquear los puertos TCP 139 y 445 en el Firewall del equipo.

Por suerte, la práctica mayoría de las empresas de seguridad son capaces de detectar y eliminar Conficker.

Más allá de lo obvio, sin embargo, hay otras cosas que podemos hacer. Lo primero es desactivar la característica AutoRun de Windows. Se trata de la función que permite que se ejecute un programa o acción determinada al insertar un CD/DVD en la unidad, o cuando conectamos una memoria/disco externo USB al ordenador. Esta capacidad ha sido ampliamente explotada por los autores de malware para propagar sus infecciones.

Para desactivar esta característica, los usuarios tienen que importar el siguiente valor de registro:

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@=”@SYS:DoesNotExist”

Como hemos indicado arriba, Conficker se propaga copiándose a sí mismo a través de la compartida ADMIN$ del equipo de destino. Según Microsoft, primero intenta utilizar las credenciales del usuario que ha iniciado sesión en la máquina infectada, lo que funciona realmente bien en entornos donde una misma cuenta de usuario es utilizada en diferentes equipos de la red, y con derechos completos de administración. Si esto falla, el gusano utiliza una lista de cuentas de usuario contra su máquina objetivo, y prueba a conectarse a ella con cada uno de los nombres de usuario y contraseñas de baja seguridad que almacena en dicho listado.

Esto puede ser combatido con tan sólo utilizar buenas contraseñas de red para cualquier recurso compartido o cuenta de usuario de la red.

A pesar de todo, esto deja en el aire qué hacer si los ordenadores de los usuarios ya han sido infectados. Conficker realiza un paso adicional, que consiste en cerrar cualquier proceso cuyo nombre pueda indicar que se trata de un programa antivirus, al tiempo que bloquea el acceso al servicio de Windows Update, así como a las webs de las principales empresas de seguridad. Podéis consultar la lista completa desde aquí (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B)

Por suerte hay herramientas que pueden ser descargadas para eliminar el software malicioso, como el Active Scan de Panda Security (http://www.activescan.com/), que los equipos infectados pueden utilizar para eliminar el gusano.

Si sabes que estas infectado y te sientes capaz de hacerlo, también puedes eliminarlo manualmente utilizando las instrucciones que se detallan desde Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=3

Mientras tanto, los expertos en seguridad están especulando todavía sobre cuál era el objetivo final de los hackers que crearon este gusano. Algunos han sugerido que podría tratarse de un plan para crear un botnet masivo (equipos zombies); otros no están tan seguros.

“Pensamos que ha sido una distracción a gran escala para ocultar brechas de seguridad” dijo Ryan Sherstobitoff, jefe de negocio corporativo de Panda Security. “No parece que las variantes de Conficker estén construyendo un botnet, aunque tampoco nos sorprendería. Este es un ataque que no habíamos visto en bastante tiempo, y realmente podría ser una señal de aviso de algo más grande que podría estar por venir”.

Pablo Fernández

Informático reconvertido a periodista, Pablo Fernández Torres comenzó su andadura profesional como redactor técnico y coordinador web en la revista PC Actual. Tras 7 años en esta publicación decidió dar el salto al segmento IT profesional para liderar el lanzamiento a finales de 2008 de la cabecera Silicon en España y posteriormente en la región LATAM. En la actualidad ejerce como director editorial Internacional de NetMedia Group, que edita otras publicaciones online como ITespresso, Channelbiz, SiliconWeek, B!T y ZDnet Germany.

Recent Posts

Dell Technologies introduce avances en Dell NativeEdge

Dell pretende que "las organizaciones puedan utilizar continuamente los últimos avances de IA en el…

3 horas ago

HPE anuncia más soluciones de supercomputación

Introduce cinco nuevas soluciones HPE Cray con arquitectura de refrigeración líquida directa y dos servidores…

4 horas ago

Meta Park Montseny-Riells abre las puertas a la realidad aumentada

Las entradas para acudir a este parque temático que defiende un turismo sostenible saldrán a…

4 horas ago

QNAP soportará QTS 5.2 y QuTS hero h5.2 a largo plazo

Amplía la disponibilidad de actualizaciones y parches críticos para ambos sistemas operativo hasta agosto de…

5 horas ago

Pure Storage introduce mejoras en su plataforma Portworx

Con esta actualización acelera las cargas de trabajo de Kubernetes para máquinas virtuales, bases de…

5 horas ago

Elena de Pablo se convierte en Ecosystem Senior Manager de EIT Manufacturing para Iberia

Su cometido pasa por consolidar y ampliar el ecosistema industrial en España y Portugal.

6 horas ago