Utilizamos cookies propias y de terceros. Al navegar entendemos que aceptas el uso de cookies. +Info.
Política de cookies
Proyecto AjpdSoft

· Inicio
· Buscar
· Contactar
· Cookies
· Descargas
· Foros
· Historia
· Nosotros
· Temas
· Top 10
· Trucos
· Tutoriales
· Usuario
· Wiki

Proyecto AjpdSoft: Foros

AjpdSoft :: Ver tema - Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.azsy
Foros de discusión Buscar Perfil FAQ Iniciar sesión
Information Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.azsy

Publicar nuevo tema Responder al tema
Foros de discusión » Varios (seguridad, internet, ofimática, errores)   
Ver tema anterior :: Ver tema siguiente
AutorMensaje
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.azsy Responder citando

Tengo un servidor con Windows Server 2003, recién formateado e instalado el sistema operativo. Lo primero que hice fue ponerle el antivirus ESET NOD32. Cada cierto tiempo me muestra un mensaje indicando que ha detectado el virus Conficker.AA (Win32/Conficker.AA), más o menos cada hora. Indicando que ha enviado a cuarentena porque no ha podido eliminar el fichero:

C:\Windows\System32\vwroiwxh.ur

Lo curioso es que si paso un análisis de todo el equipo (completo) no me encuentra virus. He probado con varios antivirus online y el equipo, aparentemente, está limpio. Pero el mensaje sigue saliendo.

¿A qué puede ser debido esto? ¿es un falso positivo? ¿Puede ser un ataque externo de un hacker? ¿puedo tener el equipo infectado y que los antivirus no lo detecten?
MensajePublicado:
Vie Oct 29, 2010 6:17 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



varios escribió:
Tengo un servidor con Windows Server 2003, recién formateado e instalado el sistema operativo. Lo primero que hice fue ponerle el antivirus ESET NOD32. Cada cierto tiempo me muestra un mensaje indicando que ha detectado el virus Conficker.AA (Win32/Conficker.AA), más o menos cada hora. Indicando que ha enviado a cuarentena porque no ha podido eliminar el fichero:

C:\Windows\System32\vwroiwxh.ur

Lo curioso es que si paso un análisis de todo el equipo (completo) no me encuentra virus. He probado con varios antivirus online y el equipo, aparentemente, está limpio. Pero el mensaje sigue saliendo.

¿A qué puede ser debido esto? ¿es un falso positivo? ¿Puede ser un ataque externo de un hacker? ¿puedo tener el equipo infectado y que los antivirus no lo detecten?



La variante que nos comentas del Conficker, que nos comentas, la Conficker.AA hace lo siguiente:

1. Cuando un equipo de tu red está infectado con el Conficker.AA, buscará cualquier equipo de la red que le devuelva ping (que esté activo).

2. Si encuentra algún equipo activo intentará acceder al recurso compartido (siempre en los equipos Windows):

\\IP_PC\C$\Windows\Tasks

3. Si tiene permisos para escribir en esta carpeta (o bien porque haya relación de confianza porque el usuario y la contraseña del equipo infectado coincida con un usuario del equipo al que intenta infectar o bien porque en algún momento se haya accedido a este equipo y se hayan guardado las credenciales), creará un fichero con el nombre (puede variar): At1.job.

4. Lo que consigue con la acción anterior es crear una tarea programada en el equipo que intenta acceder, esta tarea ejecutará (cada hora) un fichero con el comando:

rundll32.exe nombre_fichero_virus

5. A continuación intentará copiar de la misma forma el fichero con el virus en:

\\IP_PC\C$\Windows\System32\nombre_fichero_virus

6. Si consigue crear el fichero anterior y se ejecuta la tarea programada, el equipo quedará infectado con el Conficker.AA.

En tu caso, lo que ocurre es lo que te hemos comentado pero al tener antivirus, cuando el virus del equipo infectado de tu red intenta crear el fichero:

\\IP_PC\C$\Windows\System32\vwroiwxh.ur

Lo copia pero el antivirus ESET NOD32 lo detecta y lo elimina antes de que la tarea programada lo ejecute.

Comprueba si tienes una tarea programada como te hemos dicho, con el nombre "At1.job" (o alguna otra tarea programada "extraña" que tú no hayas dado de alta). Si es así dinóslo.
MensajePublicado:
Vie Oct 29, 2010 6:27 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



alonsojpd escribió:
La variante que nos comentas del Conficker, que nos comentas, la Conficker.AA hace lo siguiente:

1. Cuando un equipo de tu red está infectado con el Conficker.AA, buscará cualquier equipo de la red que le devuelva ping (que esté activo).

2. Si encuentra algún equipo activo intentará acceder al recurso compartido (siempre en los equipos Windows):

\\IP_PC\C$\Windows\Tasks

3. Si tiene permisos para escribir en esta carpeta (o bien porque haya relación de confianza porque el usuario y la contraseña del equipo infectado coincida con un usuario del equipo al que intenta infectar o bien porque en algún momento se haya accedido a este equipo y se hayan guardado las credenciales), creará un fichero con el nombre (puede variar): At1.job.

4. Lo que consigue con la acción anterior es crear una tarea programada en el equipo que intenta acceder, esta tarea ejecutará (cada hora) un fichero con el comando:

rundll32.exe nombre_fichero_virus

5. A continuación intentará copiar de la misma forma el fichero con el virus en:

\\IP_PC\C$\Windows\System32\nombre_fichero_virus

6. Si consigue crear el fichero anterior y se ejecuta la tarea programada, el equipo quedará infectado con el Conficker.AA.

En tu caso, lo que ocurre es lo que te hemos comentado pero al tener antivirus, cuando el virus del equipo infectado de tu red intenta crear el fichero:

\\IP_PC\C$\Windows\System32\vwroiwxh.ur

Lo copia pero el antivirus ESET NOD32 lo detecta y lo elimina antes de que la tarea programada lo ejecute.

Comprueba si tienes una tarea programada como te hemos dicho, con el nombre "At1.job" (o alguna otra tarea programada "extraña" que tú no hayas dado de alta). Si es así dinóslo.



¡¡¡Efectivamente!!! la tarea programada existe, estoy preocupado ¿tengo el servidor infectado? ¿cómo arreglo esto?
MensajePublicado:
Vie Oct 29, 2010 6:29 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



varios escribió:
¡¡¡Efectivamente!!! la tarea programada existe, estoy preocupado ¿tengo el servidor infectado? ¿cómo arreglo esto?


Tranquilo, siempre que tengas el antivirus activo no pasa nada, pero si el antivirus falla por cualquier circunstancia se te infectará el equipo. Por ello, para evitar la infección con el Conficker.AA haz lo siguiente:

1. Lo primero que has de hacer es eliminar la tarea programada At1.job.

2. Ahora tienes que asegurarte de que ningún equipo de tu red tenga acceso como administrador al equipo. Por seguridad te recomendamos que crees un usuario administrador (que no sea el "administrador") y le pongas una contraseña y lo agregues como miembro de los administradores (si aún no lo tienes), después deshabilita el usuario "administrador" y asegúrate de que todos los servicios se inician bien, asegúrate de que ningún servicio del servidor requiere el usuario administrador. A continuación comprueba y asegúrate de que todos los usuarios del equipo servidor NO sean administradores (no pertenezcan a ningún grupo de seguridad de administradores). De esta forma garantizarás que el equipo de tu red que sí tiene acceso como administrador al servidor deje de tenerlo, de esta forma el virus Conficker.AA no podrá acceder a C$. Por supuesto, lo anterior hazlo con precaución y verifica que te funcionan las aplicaciones y que los usuarios tienen acceso a sus datos. Pero siempre deshabilitando la cuenta "administrador" (que es la que suelen usar los virus) y asegurándote de que ningún usuario tiene privilegios de administrador en el servidor salvo el tuyo.

Deja que pasen unos días y dinos si te vuelve a aparecer el mensaje de detección del virus Conficker.AA por parte del antivirus ESET NOD32 en el servidor.
MensajePublicado:
Vie Oct 29, 2010 6:36 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



alonsojpd escribió:
Tranquilo, siempre que tengas el antivirus activo no pasa nada, pero si el antivirus falla por cualquier circunstancia se te infectará el equipo. Por ello, para evitar la infección con el Conficker.AA haz lo siguiente:

1. Lo primero que has de hacer es eliminar la tarea programada At1.job.

2. Ahora tienes que asegurarte de que ningún equipo de tu red tenga acceso como administrador al equipo. Por seguridad te recomendamos que crees un usuario administrador (que no sea el "administrador") y le pongas una contraseña y lo agregues como miembro de los administradores (si aún no lo tienes), después deshabilita el usuario "administrador" y asegúrate de que todos los servicios se inician bien, asegúrate de que ningún servicio del servidor requiere el usuario administrador. A continuación comprueba y asegúrate de que todos los usuarios del equipo servidor NO sean administradores (no pertenezcan a ningún grupo de seguridad de administradores). De esta forma garantizarás que el equipo de tu red que sí tiene acceso como administrador al servidor deje de tenerlo, de esta forma el virus Conficker.AA no podrá acceder a C$. Por supuesto, lo anterior hazlo con precaución y verifica que te funcionan las aplicaciones y que los usuarios tienen acceso a sus datos. Pero siempre deshabilitando la cuenta "administrador" (que es la que suelen usar los virus) y asegurándote de que ningún usuario tiene privilegios de administrador en el servidor salvo el tuyo.

Deja que pasen unos días y dinos si te vuelve a aparecer el mensaje de detección del virus Conficker.AA por parte del antivirus ESET NOD32 en el servidor.


Ok, he hecho lo que me has dicho, ya tenía mi usuario como administrador y desahabilitado el usuario administrador del servidor. Tenía un par de usuarios como administradores que creo que agregué para hacer alguna prueba, también los que quitado de administradores.

Han pasado cinco días y no ha vuelto a aparecer el mensaje de detección del virus ¿es suficiente con esto?
MensajePublicado:
Vie Oct 29, 2010 6:38 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



varios escribió:
Ok, he hecho lo que me has dicho, ya tenía mi usuario como administrador y desahabilitado el usuario administrador del servidor. Tenía un par de usuarios como administradores que creo que agregué para hacer alguna prueba, también los que quitado de administradores.

Han pasado cinco días y no ha vuelto a aparecer el mensaje de detección del virus ¿es suficiente con esto?


No, aún te quedan algunas cosas MUY importantes:

1. Si te ha ocurrido esto en el servidor es porque tienes uno o varios equipos de tu red infectados con el Conficker.AA, debes actualizar los antivirus y los parches del sistema operativo de todos los equipos y realizar un análisis completo. Debes limpiar todos los equipos clientes, de lo contrario entre ellos intentarán infectarse y también intentarán infectar el servidor, si en algún momento vuelves a poner un usuario como administrador puede que te vuelva a aparecer el mensaje del virus y si además te pilla sin antivirus activo en el servidor se te infectará también. Por ello, repetimos, asegúrate de limpiar todos los equipos.

2. Descarga la herramienta gratuita desde:

kaspersky.com/downloads/utils/kk.zip

3. Ejecútala en todos los equipos (también en el servidor), existen más herramientas pero asegúrate de descargarlas de sitios fiables (web oficiales de antivirus), pues muchos hacker aprovechan el "miedo" de los usuarios a estos virus y publican falsas herramientas de desinfección que luego son virus. La herramienta de Kaspersky funciona bastante bien, se te abrirá una ventana de MS-DOS que, incluso, te eliminará las posibles tareas programadas que el virus (también llamado Net-Worm.Win32.Kido) te habrá creado.

4. A partir de ahora, cuando tengas limpios todos los equipos de tu red, intenta que todos tengan antivirus actualizado y residente y todos las actualizaciones de Windows. Y nunca compartas la unidad C (o la unidad donde tengas el sistema operativo) completa, pues muchos virus aprovechan esto para propagarse por la red local. Intenta siempre desactivar los usuarios que no hagan falta en los equipos (incluido el administrador, invitado, etc.) y procura que los usuarios de los equipos no sean administradores, que sean usuarios limitados.

Siguiendo estos consejos será muy complicado (casi imposible) que tus equipos vuelvan a infectarse.
MensajePublicado:
Vie Oct 29, 2010 7:00 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: Virus Conficker.AA ó win32 confi ó Trojan.Win32.Agent.az Responder citando



Anuncios



Aquí te mostramos la utilidad (removal tool) de Kaspersky (Net-Worm.Win32.Kido removing tool) en funcionamiento:



Y aquí tienes más datos sobre eliminación manual del virus y sobre los posibles nombres que puede tener:

Aliases: Trojan.Win32.Agent.bbof (Kaspersky), W32.Downadup.B (Symantec), WW32/Conficker.worm.gen.a (McAfee)
Type of infiltration: Worm
Size: 157130 B
Affected platforms: Microsoft Windows

Carpetas donde podría copiarse:

# %system%\%variable%.dll
# %program files%\Internet Explorer\%variable%.dll
# %program files%\Movie Maker\%variable%.dll
# %appdata%\%variable%.dll
# %temp%\%variable%.dll

Injectará la dll del virus en alguno de los siguientes procesos:
explorer.exe
services.exe
svchost.exe

Puede registrarse como un servicio del sistema con alguno de los siguientes nombres:

# Boot
# Center
# Config
# Driver
# Helper
# Image
# Installer
# Manager
# Microsoft
# Monitor
# Network
# Security
# Server
# Shell
# Support
# System
# Task
# Time
# Universal
# Update
# Windows

Para ejecutarse en cada inicio del equipo, puede escribir en la siguiente clave del registro la siguiente información:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\%variable_name%" = "rundll32.exe "%system%\%variable%.dll",
%random_string%"

También puede escribir estos otros valores en el registro (regedit) de configuraciones:

# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random
service name%\Parameters
"ServiceDll" = "%system%\%variable%.dll"

# HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%random
service name%
"Image Path" = "%System Root%\system32\svchost.exe -k netsvcs"

Además, es un virus de tipo autorun.inf, por lo que intentará infectar pendrives (lápices de memoria) y unidades extraíbles. Para ello intentará escribir en:

% Unidad% \ RECYCLER \ S-% variable1% \%% variable2. Variable3%%

del pendrive. Y creará el fichero:

% Unidad% \ autorun.inf

Para que cuando se inserte un pendrive infectado en otro equipo también lo infecte.

En el siguiente artículo tienes más información sobre cómo se propagan los virus autorun y cómo evitarlos:

http://www.ajpdsoft.com/modules.php?name=News&file=article&sid=498
MensajePublicado:
Vie Oct 29, 2010 7:17 pm
Top of PageVer perfil de usuario
Mostrar mensajes de anteriores:   
Todas las horas son GMT - 1 Horas
Publicar nuevo tema Responder al tema
Foros de discusión » Varios (seguridad, internet, ofimática, errores)  

Cambiar a:  
Key
  Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
Este sitio web NO CONTIENE malware, todos los programas con código fuente aquí. Autor: Alonso Javier Pérez Díaz Google+ Síguenos en Google+