Elimina Conficker y mantén la red a salvo

Con las infecciones por Conficker aún en propagación, las buenas noticias son que hay formas para protegerse de él y limpiar vuestro ordenador en caso de que hayáis resultado infectados.

La saga de Conficker comenzó en Noviembre de 2008, cuando Microsoft informó de un gusano que aprovechaba un fallo en un servicio de Windows Server que la compañía “parcheó” en Octubre de 2008. Desde entonces, el gusano ha infectado millones de máquinas.

La variante más prolífica, identificada por Microsoft como Win32/Conficker.B, se propaga no sólo gracias al fallo de Windows, sino también a través de las carpetas compartidas de red, identificándose en máquinas que utilizan contraseñas de mínimo nivel de seguridad. También se propaga copiándose a sí mismo en medios extraíbles, un método de ataque que lo ha hecho subir como la espuma durante el pasado año.

Ante esto, ¿qué pueden hacer los usuarios para protegerse de esta amenaza? Hay varias respuestas. La primera es obvia: aplicar el parche de Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), y asegurarse de que el antivirus esta actualizando con la última versión disponible del identificador de firmas. Aún así, también hay algunas alternativas para los que, por cualquier razón, no puedan aplicar el parche. Por ejemplo, se puede desactivar el servicio “Examinador de equipos” de Windows Server, y bloquear los puertos TCP 139 y 445 en el Firewall del equipo.

Por suerte, la práctica mayoría de las empresas de seguridad son capaces de detectar y eliminar Conficker.

Más allá de lo obvio, sin embargo, hay otras cosas que podemos hacer. Lo primero es desactivar la característica AutoRun de Windows. Se trata de la función que permite que se ejecute un programa o acción determinada al insertar un CD/DVD en la unidad, o cuando conectamos una memoria/disco externo USB al ordenador. Esta capacidad ha sido ampliamente explotada por los autores de malware para propagar sus infecciones.

Para desactivar esta característica, los usuarios tienen que importar el siguiente valor de registro:

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@=”@SYS:DoesNotExist”

Como hemos indicado arriba, Conficker se propaga copiándose a sí mismo a través de la compartida ADMIN$ del equipo de destino. Según Microsoft, primero intenta utilizar las credenciales del usuario que ha iniciado sesión en la máquina infectada, lo que funciona realmente bien en entornos donde una misma cuenta de usuario es utilizada en diferentes equipos de la red, y con derechos completos de administración. Si esto falla, el gusano utiliza una lista de cuentas de usuario contra su máquina objetivo, y prueba a conectarse a ella con cada uno de los nombres de usuario y contraseñas de baja seguridad que almacena en dicho listado.

Esto puede ser combatido con tan sólo utilizar buenas contraseñas de red para cualquier recurso compartido o cuenta de usuario de la red.

A pesar de todo, esto deja en el aire qué hacer si los ordenadores de los usuarios ya han sido infectados. Conficker realiza un paso adicional, que consiste en cerrar cualquier proceso cuyo nombre pueda indicar que se trata de un programa antivirus, al tiempo que bloquea el acceso al servicio de Windows Update, así como a las webs de las principales empresas de seguridad. Podéis consultar la lista completa desde aquí (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B)

Por suerte hay herramientas que pueden ser descargadas para eliminar el software malicioso, como el Active Scan de Panda Security (http://www.activescan.com/), que los equipos infectados pueden utilizar para eliminar el gusano.

Si sabes que estas infectado y te sientes capaz de hacerlo, también puedes eliminarlo manualmente utilizando las instrucciones que se detallan desde Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=3

Mientras tanto, los expertos en seguridad están especulando todavía sobre cuál era el objetivo final de los hackers que crearon este gusano. Algunos han sugerido que podría tratarse de un plan para crear un botnet masivo (equipos zombies); otros no están tan seguros.

“Pensamos que ha sido una distracción a gran escala para ocultar brechas de seguridad” dijo Ryan Sherstobitoff, jefe de negocio corporativo de Panda Security. “No parece que las variantes de Conficker estén construyendo un botnet, aunque tampoco nos sorprendería. Este es un ataque que no habíamos visto en bastante tiempo, y realmente podría ser una señal de aviso de algo más grande que podría estar por venir”.

Pablo Fernández

Informático reconvertido a periodista, Pablo Fernández Torres comenzó su andadura profesional como redactor técnico y coordinador web en la revista PC Actual. Tras 7 años en esta publicación decidió dar el salto al segmento IT profesional para liderar el lanzamiento a finales de 2008 de la cabecera Silicon en España y posteriormente en la región LATAM. En la actualidad ejerce como director editorial Internacional de NetMedia Group, que edita otras publicaciones online como ITespresso, Channelbiz, SiliconWeek, B!T y ZDnet Germany.

Recent Posts

España, mejor que la media en equidad de género sobre inteligencia artificial

Un 54,7 % de los trabajadores formados en IA en nuestro país son hombres y…

12 horas ago

En España, 1 de cada 3 empleados utiliza IA en su día a día

Las aplicaciones más pujantes son las de traducción automática, los chatbots y los asistentes de…

13 horas ago

La falta de talento obstaculiza la adopción de IA en la industria

La mayoría de las empresas carece de personal con las competencias necesarias para trabajar con…

15 horas ago

¿Cómo afrontan los españoles el Black Friday?

Solamente 1 de cada 10 no aprovechará las rebajas, el 70 % gastará lo mismo…

16 horas ago

La ciberseguridad del IoT crecerá un 120% en el próximo lustro

El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…

3 días ago

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

3 días ago