En el mes de octubre de 2008 Microsoft Corp. liberó una actualización de seguridad (MS-067) para sus sistemas operativos Windows. Dicha actualización de seguridad soluciona un problema en el servicio Server de Microsoft y es de alta prioridad pues desde su liberación en el mes de octubre se han identificados diversas variantes de un gusano informático conocido como Confiker, Downadup o Kido capaces de aprovechar la vulnerabilidad para tomar control del sistema afectado.
Hasta el momento se han identificado las siguientes versiones del gusano:
Nombre del gusano | Fecha de liberación | Más información |
Win32/Conficker.A | Noviembre 21 de 2008 | http://www.microsoft.com/security/portal/Entry.aspx-Name=Worm:Win32/Conficker.A |
Win32/Conficker.B | Diciembre 29 de 2008 | http://www.microsoft.com/security/portal/Entry.aspx-Name=Worm:Win32/Conficker.B |
Win32/Conficker.C | Febrero 20 de 2009 | http://www.microsoft.com/security/portal/Entry.aspx-name=Worm:Win32/Conficker.c |
Win32/Conficker.D | Marzo 4 de 2009 | http://www.microsoft.com/security/portal/Entry.aspx-name=Worm:Win32/Conficker.d |
Fuente: Microsoft Corp. - http://technet.microsoft.com/en-us/security/dd452420.aspx
Este gusano Conficker principalmente se propaga mediante la red enviando paquetes RPC malintencionados a los sistemas Windows; pero también puede propagarse mediante dispositivos extraíbles como memorias USB, Diskettes, entre otros.
En general, se puede detectar la infección de Conficker si se presentan los siguientes síntomas:
El principal mecanismo de prevención es la instalación de la actualización MS-067 de Microsoft Corp. Sin embargo la instalación de un antivirus actualizado y activo se puede utilizar mientras se instala la actualización del sistema operativo.
Finalmente, el bloqueo del tráfico dirigido al puerto 445 de TCP mediante un firewall, podría prevenir una infección mediante red, sin embargo este método no previene de otros mecanismos de infección.
El gusano Conficker puede eliminarse mediante el uso de alguna herramienta automatizada:
Existen métodos de eliminación manual pero se sugieren solamente para usuarios avanzados:
http://www.seguridad.unam.mx/doc-ap=articulo&id=208
Conficker ha tenido un gran impacto alrededor del mundo, pues se estima que existen más de 10 millones de equipos infectados con alguna de las variantes. En México, el UNAM-CERT ha identificado al 26 de marzo de 2009 un número aproximado de 71 mil equipos comprometidos que afectan el dominio .mx con éste código malicioso y no se descarta que las infecciones continúen.
Algunos reportes indican que una nueva variante entrará en operación el 1 de abril de 2009, sin embargo los usuarios que han instalado la actualización descrita en el boletín MS-067 y que utilizan algún software de seguridad como antivirus o antispyware no deberían preocuparse por las nuevas variantes.
Recomendamos utilizar algún método automatizado para la erradicación, estas herramientas pueden encontrarse en la sección "¿Cómo erradicar la infección-" del presente documento. Si se trabaja en un entorno administrado como Active Directory podría implementarse la instalación de la herramienta automatizada mediante el uso de las Directivas de Grupo (GPO).
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración y revisión de este documento a:
Para mayor información acerca de este documento contactar a:
UNAM-CERT: Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
Dirección General de Cómputo y Tecnologías de Información y Comunicación
Universidad Nacional Autónoma de México
E-Mail: seguridad@seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 43
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT