• Introducción
• ¿Cómo se propaga el gusano Conficker-
• ¿Cómo se puede prevenir una infección de Conficker-
• ¿Cómo erradicar la infección-
• Información adicional (FAQ)
• Referencias

Introducción

En el mes de octubre de 2008 Microsoft Corp. liberó una actualización de seguridad (MS-067) para sus sistemas operativos Windows. Dicha actualización de seguridad soluciona un problema en el servicio Server de Microsoft y es de alta prioridad pues desde su liberación en el mes de octubre se han identificados diversas variantes de un gusano informático conocido como Confiker, Downadup o Kido capaces de aprovechar la vulnerabilidad para tomar control del sistema afectado.

Hasta el momento se han identificado las siguientes versiones del gusano:

Fuente: Microsoft Corp. - http://technet.microsoft.com/en-us/security/dd452420.aspx

¿Cómo se propaga el gusano Conficker-

Este gusano Conficker principalmente se propaga mediante la red enviando paquetes RPC malintencionados a los sistemas Windows; pero también puede propagarse mediante dispositivos extraíbles como memorias USB, Diskettes, entre otros.

¿Qué acciones realiza Conficker en los equipos infectados-

En general, se puede detectar la infección de Conficker si se presentan los siguientes síntomas:

• Desactivación de los servicios de actualizaciones automáticas, Windows Defender, Background Inteligent Transfer Service (BITS) y el servicio de reportes de Windows.
• Modificación en las directivas de cuenta, por ejemplo si existían políticas para el bloqueo de cuentas, estas directivas son desactivadas.
• Congestionamiento en la red. En especial puede identificarse tráfico dirigido al puerto 445 de TCP.
• Restricción de acceso a sitios Web relacionados con antivirus, actualizaciones de Windows y antispyware.
• El rendimiento de las aplicaciones es deficiente.

¿Cómo se puede prevenir una infección de Conficker-

El principal mecanismo de prevención es la instalación de la actualización MS-067 de Microsoft Corp. Sin embargo la instalación de un antivirus actualizado y activo se puede utilizar mientras se instala la actualización del sistema operativo.

Finalmente, el bloqueo del tráfico dirigido al puerto 445 de TCP mediante un firewall, podría prevenir una infección mediante red, sin embargo este método no previene de otros mecanismos de infección.

¿Cómo erradicar la infección-

El gusano Conficker puede eliminarse mediante el uso de alguna herramienta automatizada:

• MSRT http://www.microsoft.com/security/malwareremove/default.mspx
• F-Secure ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• AhnLab http://global.ahnlab.com/global/file_removeal_down.jsp-filename=12383994028721&down_filename=v3conficker.zip
• McAfee http://vil.nai.com/vil/stinger/
• ESET http://download.eset.com/special/EConfickerRemover.exe
• BitDefender http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
• Kaspersky http://data2.kaspersky-labs.com:8080/special/KKiller_v3.4.1.zip
• Sophos http://www.sophos.com/products/free-tools/conficker-removal-tool.html
• Symantec http://www.symantec.com/security_response/writeup.jsp-docid=2009-011316-0247-99
• TrendMicro http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip

Existen métodos de eliminación manual pero se sugieren solamente para usuarios avanzados:

• Eliminación del Gusano Conficker de equipos Windows

http://www.seguridad.unam.mx/doc-ap=articulo&id=208

Información Adicional (FAQ)

¿Qué impacto ha tenido Conficker-

Conficker ha tenido un gran impacto alrededor del mundo, pues se estima que existen más de 10 millones de equipos infectados con alguna de las variantes. En México, el UNAM-CERT ha identificado al 26 de marzo de 2009 un número aproximado de 71 mil equipos comprometidos que afectan el dominio .mx con éste código malicioso y no se descarta que las infecciones continúen.

¿Debo estar preocupado por el 1 de abril-

Algunos reportes indican que una nueva variante entrará en operación el 1 de abril de 2009, sin embargo los usuarios que han instalado la actualización descrita en el boletín MS-067 y que utilizan algún software de seguridad como antivirus o antispyware no deberían preocuparse por las nuevas variantes.

Si mi organización ha sido afectada por Conficker, ¿qué puedo hacer-

Recomendamos utilizar algún método automatizado para la erradicación, estas herramientas pueden encontrarse en la sección "¿Cómo erradicar la infección-" del presente documento. Si se trabaja en un entorno administrado como Active Directory podría implementarse la instalación de la herramienta automatizada mediante el uso de las Directivas de Grupo (GPO).

¿Dónde encuentro mayores detalles acerca de Conficker-

• Conficker - Seminarios de Seguridad Informática UNAM-Microsoft (Video) http://podcast.unam.mx/wp-content/uploads/podcastunam-2009-02-19-22222.m4v
• Conficker - Seminarios de Seguridad Informática UNAM-Microsoft (pdf)
  Roberto Arbelaez (Microsoft Corp.) http://seminarios.seguridad.unam.mx/presentaciones/conficker-ms.pdf
  Oscar Ortega (UNAM-CERT) http://seminarios.seguridad.unam.mx/presentaciones/conficker-unam.pdf
• Eliminación del Gusano Conficker de equipos Windows
  http://www.seguridad.unam.mx/doc-ap=articulo&id=208
• Microsoft Conficker guidance page for IT Professionals and those focused on security in the enterprise
  http://www.microsoft.com/conficker
• Boletín de Seguridad de Microsoft MS08-067
  http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
• Importante actualizar Sistemas Operativos Windows
  http://www.cert.org.mx/nota-vulne=5676
• Vulnerabilidad en el servicio Server de Microsoft podría permitir la ejecución remota de código
  http://www.cert.org.mx/boletin-vulne=5667
• Protect yourself from the Conficker computer worm
  http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
• Protect Your Network from Conficker
  http://technet.microsoft.com/en-us/security/dd452420.aspx
• Resumen del boletín de seguridad de Microsoft de octubre de 2008
  http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-oct.mspx
• Centralized Information About The Conficker Worm
  http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
• Keep the latest worm infestation off your PC
  http://www.windowssecrets.com/2009/01/22/02-Keep-the-latest-worm-infestation-off-your-PC
• Implantación de la Herramienta de eliminación de software malintencionado de Microsoft Windows en un entorno empresarial
  http://support.microsoft.com/kb/891716/

Referencias

• Boletín de Seguridad de Microsoft MS08-067
  http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
• Importante actualizar Sistemas Operativos Windows
  http://www.cert.org.mx/nota-vulne=5676
• Vulnerabilidad en el servicio Server de Microsoft podría permitir la ejecución remota de código
  http://www.cert.org.mx/boletin-vulne=5667
• Nazario, José, et. al (2009). Conficker Information Sheet for Network Providers. Conficker Working Group
• W32.Downadup.C
  http://www.symantec.com/en/th/business/security_response/writeup.jsp-docid=2009-030614-5852-99
• Help Protect Windows from Conficker
  http://technet.microsoft.com/en-us/security/dd452420.aspx
• Resumen de actividad de Conficker o Downadup
  http://www.malware.unam.mx/blog.dsc-semana=5&anio=2009