Utilizamos cookies propias y de terceros. Al navegar entendemos que aceptas el uso de cookies. +Info.
Política de cookies
Proyecto AjpdSoft

· Inicio
· Buscar
· Contactar
· Cookies
· Descargas
· Foros
· Historia
· Nosotros
· Temas
· Top 10
· Trucos
· Tutoriales
· Usuario
· Wiki

Proyecto AjpdSoft: Foros

AjpdSoft :: Ver tema - El virus confiker, Kido ó Downadup ¿cómo evitarlo?
Foros de discusión Buscar Perfil FAQ Iniciar sesión
Information El virus confiker, Kido ó Downadup ¿cómo evitarlo?

Publicar nuevo tema Responder al tema
Foros de discusión » Windows 10, Windows 7, Windows Server 2010, W2008, W2003   
Ver tema anterior :: Ver tema siguiente
AutorMensaje
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: El virus confiker, Kido ó Downadup ¿cómo evitarlo? Responder citando

Tengo varios equipos en mi empresa con Windows XP y Windows Server 2003 ¿cómo puedo evitar que el virus confiker, Kido ó Downadup infecte algun de ellos? ¿qué hace este virus?

Ultima edición por varios el Sab Abr 04, 2009 12:05 pm, editado 1 vez
MensajePublicado:
Sab Abr 04, 2009 11:43 am
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



varios escribió:
Tengo varios equipos en mi empresa con Windows XP y Windows Server 2003 ¿cómo puedo evitar que el virus conficker, Kido ó Downadup infecte algun de ellos? ¿qué hace este virus?


Este virus puede atacar a los equipos utilizando una vulnerabilidad de los sistemas operativos Windows (que ya ha sido solventada por Microsoft). Para evitarlo sigue estos pasos:

1. El más importante es que tengas todos tus equipos con Windows XP, Windows Server 2003 actualizados al día, con todos los parches instalados. En concreto, el parche que soluciona la posibilidad de intrusión del virus Confiker (también llamado Kido o Downadup) es el KB958644, lo puedes descargar gratuitamente de la web de Microsoft.

2. Puesto que el virús se activaba el día 1 de abril, ten en cuenta que alguno de tus equipos podría ya estar infectado. Te recomendamos que utilices una herramienta (que provenga de un sitio SEGURO) para analizar todos tus equipos en busca de ese virus. Decimos "SEGURO" porque muchos han aprovechado el impacto mediático de este virus para realizar falsas herramientas de desinfección que en realidad te llenarán el equipo de más spyware. Por ello te recomendamos que utilices herramientas gratuitas disponibles en las páginas web de Antivirus conocidos como:

* Kaspersky: www.kaspersky.com/technews?id=203038750, esta utilidad es un comando de MS-DOS, por lo que no te dará ningún error que sí te podrían dar otras (como la de Norton). Admite varios comandos para realizar un análisis "rápido" o profundo (todo el equipo).

* Symantec (Norton): www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99, una utilidad en modo Windows que hemos detectado que en determinados equipos da error al ejecutarse.

* Microsoft: www.microsoft.com/security/malwareremove/default.mspx, incluye su propia herramienta "Malicious Software Removal Tool" de detección y eliminación de Confiker (Nido).


3. Lo ideal es que cuentes con un antivirus con cortafuegos o un cortafuegos físico en tu red. La gran parte de estos virus que aprovechan vulnerabilidades del sistema operativo no suelen ser efectivos ante un buen cortafuegos.


Ultima edición por alonsojpd el Sab Abr 04, 2009 12:36 pm, editado 1 vez
MensajePublicado:
Sab Abr 04, 2009 12:04 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



alonsojpd escribió:
varios escribió:
Tengo varios equipos en mi empresa con Windows XP y Windows Server 2003 ¿cómo puedo evitar que el virus conficker, Kido ó Downadup infecte algun de ellos? ¿qué hace este virus?


Este virus puede atacar a los equipos utilizando una vulnerabilidad de los sistemas operativos Windows (que ya ha sido solventada por Microsoft). Para evitarlo sigue estos pasos:

1. El más importante es que tengas todos tus equipos con Windows XP, Windows Server 2003 actualizados al día, con todos los parches instalados. En concreto, el parche que soluciona la posibilidad de intrusión del virus Confiker (también llamado Kido o Downadup) es el KB958644, lo puedes descargar gratuitamente de la web de Microsoft.

2. Puesto que el virús se activaba el día 1 de abril, ten en cuenta que alguno de tus equipos podría ya estar infectado. Te recomendamos que utilices una herramienta (que provenga de un sitio SEGURO) para analizar todos tus equipos en busca de ese virus. Decimos "SEGURO" porque muchos han aprovechado el impacto mediático de este virus para realizar falsas herramientas de desinfección que en realidad te llenarán el equipo de más spyware. Por ello te recomendamos que utilices herramientas gratuitas disponibles en las páginas web de Antivirus conocidos como:

* Kaspersky: www.kaspersky.com/technews?id=203038750, esta utilidad es un comando de MS-DOS, por lo que no te dará ningún error que sí te podrían dar otras (como la de Norton). Admite varios comandos para realizar un análisis "rápido" o profundo (todo el equipo).

* Symantec (Norton): www.symantec.com/business/security_response/writeup.jsp?docid=2009-011316-0247-99, una utilidad en modo Windows que hemos detectado que en determinados equipos da error al ejecutarse.

* Microsoft: el propio Microsoft incluye en su herramienta.


3. Lo ideal es que cuentes con un antivirus con cortafuegos o un cortafuegos físico en tu red. La gran parte de estos virus que aprovechan vulnerabilidades del sistema operativo no suelen ser efectivos ante un buen cortafuegos.



Ok, tengo otra duda ¿cómo se propaga el confiker?
MensajePublicado:
Sab Abr 04, 2009 12:06 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



varios escribió:
Ok, tengo otra duda ¿cómo se propaga el confiker?


Este virus tiene varios métodos de propagación o infección: aprovechando la vulnerabilidad de Windows (desde equipos infectados realizarán intentos de infección aprovechando esta vulnerabilidad a otros equipos de la red) o mediante la introducción de lápices de memoria (Pendrives USB) infectados. PandaSoftware ha creado una utilidad gratuita llamada "Panda USB Vaccine" que impide que tu equipo se infecte si se introduce un lápiz de memoria con el virus Confiker.

También debes saber que hay varias variantes (W32.Downadup.A, W32.Downadup.B, W32.Downadup.C) y puede haber más en los próximos días. Este virus, una vez que infecta un equipo, si no dispones de un buen cortafuegos, te "abre una puerta" y podrá descargar en ese equipo nuevas versiones (variantes) de dicho virus, por lo que puede ser muy difícil de eliminar.

También debes saber que si tienes tus equipos infectados con el Confiker, este virus está programado para conectarse a miles de direcciones web (aleatorias) por lo que podría colapsar tu red.

Incluso se comenta que los creadores de este virus podrían "vender" su uso fraudulento a otras empresas, al abrir una "puerta" en tu equipo, otras empresas podrían utilizar este acceso fraudulento para introducir determinados "programas" malignos para publicadad, obtener contraseñas, etc.

En realidad nadie sabe el alcance real de este tipo de amenazas, que hay que tener en cuenta que Confiker no es el único, símplemente le hemos prestado más atención porque se activa en un día concreto (esto suele provocar alarma social) y porque los medios de comunicación han considerado darle "publicidad". En realidad deberíamos preocuparnos de los virus que no aparecen en la "tele".

Como te hemos comentado, para sistemas operativos Windows, lo mejor es tenerlos siempre actualizados al día y a ser posible un buen cortafuegos y antivirus.
MensajePublicado:
Sab Abr 04, 2009 12:13 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



¿Mis equipos podrían haberse infectado con el Confiker antes del 1 de abril?
MensajePublicado:
Sab Abr 04, 2009 12:15 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



varios escribió:
¿Mis equipos podrían haberse infectado con el Confiker antes del 1 de abril?


Sí, por supuesto, ten en cuenta que Microsoft publicó su boletín de seguridad avisando de la vulnerabilidad que utiliza Confiker el día 23 de octubre de 2008:

"Boletín de seguridad de Microsoft MS08-067 – Crítico"

Por lo tanto, Confiker o cualquier otro podrían estar utilizando esta vulnerabilidad desde antes de que Microsoft la detectara y después (hasta hoy) en los equipos que no tengan las actualizaciones correctamente instaladas.

El resumen de este boletín de Microsoft: Esta actualización de Seguridad resuelve una vulnerabilidad reportada de manera privada en el servicio de Servidor. La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC especialmente diseñada en un sistema afectado. En los sistemas Microsoft Windows 2000, Windows XP y Windows Server 2003, un atacante podría aprovechar esta vulnerabilidad sin autenticación para ejecutar código arbitrario. Es posible que esta vulnerabilidad se pueda usar en el diseño de un gusano. Si se siguen los procedimientos recomendados relativos al uso de firewalls y se implementan las configuraciones de servidores de seguridad predeterminadas estándar, puede contribuirse a proteger recursos de red de los ataques que se originen fuera del ámbito de la empresa.

Esta actualización de seguridad se considera crítica para todas las ediciones compatibles de Microsoft Windows 2000, Windows XP y Windows Server 2003; y se considera importante para todas las ediciones compatibles de Windows Vista y Windows Server 2008. Para obtener más información, consulte la subsección Software afectado y no afectado, en esta sección.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que el servicio de servidor trata las solicitudes RPC. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Microsoft recomienda a sus clientes que apliquen la actualización inmediatamente.


Podríamos decir que lo único que ha hecho que este virus salga en los medios de comunicación ha sido que su fecha prevista de activación (según el código ensamblador estudiados por los expertos de las empresas antivirus que ya lo conocían) para el 1 de abril de 2009.

Con lo cual tus equipos podrían estar infectados por este virus desde hace ya meses.
MensajePublicado:
Sab Abr 04, 2009 12:20 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus conficker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



Otra cosa más es que el Confiker también puede infectar equipos con Windows Server 2003. Las herramientas que te hemos comentado al principio de detección y desinfección de Nido también sirven para Windows Server 2003.
MensajePublicado:
Sab Abr 04, 2009 12:21 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: El virus confiker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



¿Quienes se benefician de virus como este?
MensajePublicado:
Sab Abr 04, 2009 12:23 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus confiker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



varios escribió:
¿Quienes se benefician de virus como este?


Esta es una buena pregunta, hay cientos de miles de virus de este tipo, algunos se hacen sin ánimo de lucro, otros una vez que se sabe que han infectado millones de equipos venden ese "posible agujero" a otras empresas para que llenen el equipo de publicidad o bien introduzcan nuevos "virus" que obtengan contraseñas y demás para posteriores usos fraudulentos.

Por otro lado, sin duda, las empresas Antivirus también son las grandes beneficiadas, con esto no decimos que sean ellas las que los hacen (es una leyenda urbana), simple y llanamente con este tipo de virus que además son publicitados en la Televisión la gente por alarma social tiende a comprar un antivirus.

Y no olvidemos, aunque parezca que no, que otro beneficiado es Microsoft, muchos equipos que no tienen la clave de licencia correcta (licencias piratas) no pueden realizar actualizaciones de seguridad, por lo que ante estas situaciones tienen a compar una licencia del sistema operatvo.

Y por último no olvidemos a los informáticos, equipos infectados, más horas de trabajo. Y alarma social, en cuyo caso el jefe de la empresa pedirá al informático que introduzca todo lo necesario en los sistemas para impedir que vuelva a ocurrir o que ocurra en un futuro.

También podríamos hablar de los perjudicados, que normalmente son los usuarios. Aunque también hay empresas con sitios web que han coincidido con los sitios aleatorios que crea el Confiker y han recibido millones de peticiones, por lo que han quedado colapsados. Aunque muchos de ellos no sabrán que se debe a esto, otros sí, pero no saldrán en la tele si no se trata de grandes empresas (sensacionalismo) como Google, Yahoo, Microsoft, etc. También salen perjudicadas aquellas empresas antivirus cuyos productos no hayan sido capaces de evitar la infección. Pensemos en una empresa que tenga un determinado antivirus y aún así haya sido infectada por Confiker, en este caso, a veces, se suele tomar la determinación de cambiar de antivirus.


Ultima edición por alonsojpd el Sab Abr 04, 2009 12:38 pm, editado 1 vez
MensajePublicado:
Sab Abr 04, 2009 12:28 pm
Top of PageVer perfil de usuario
varios
Magnífico usuario


Registrado: Oct 10, 2006
Mensajes: 2092

Asunto: Re: El virus confiker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



¿Qué hace este virus exactamente una vez que infecta un equipo?
MensajePublicado:
Sab Abr 04, 2009 12:38 pm
Top of PageVer perfil de usuario
alonsojpd
Administrador/Moderador


Registrado: Sep 16, 2003
Mensajes: 2687

Asunto: Re: El virus confiker, Kido ó Downadup ¿cómo evitarlo? Responder citando



Anuncios



varios escribió:
¿Qué hace este virus exactamente una vez que infecta un equipo?


Confiker utiliza técnicas de rootkit(*) que permiten que el virus se oculte a sí mismo. Este virus también puede bloquear el acceso a sitios de seguridad, incluyendo antivirus y software similar. Ya se han descubierto variantes de Confiker, las cuales utilizan en gran parte la misma lógica para apoderarse por medio de fuerza bruta de información, sobre todo contraseñas. También puede detener servicios de antivirus y programas de seguridad.

Si tienes varios equipos infectados este virus puede incrementar el tráfico de tu red, pues realiza miles de intentos de conexión a sitios web aleatorios.

Este virus no infecta otros ficheros, se replica a sí mismo. Realizará una copia a la carpeta:

%System%\

C:\Windows\System32

Con un nombre de fichero aleatorio y extensión .dll.

También elimina los puntos de restauración de sistema (si tenemos activada la opción de Restauración de Windows).

Crea un servicio en el equipo con el nombre netsvcs con las siguientes características:
* Nombre: netsvcs
* Ruta: %SystemRoot%\system32\svchost.exe -k netsvcs

Crea la siguiente entrada en el registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\netsvcs\Parameters\

Con el valor: "ServiceDll" = "[PathToWorm]"


Después el gusano se conecta a las siguientes URLs para obtener la dirección IP pública del ordenador infectado:
* http://www.getmyip.org
* http://getmyip.co.uk
* http://checkip.dyndns.org

Bueno, en realidad pueder hacer más acciones y, como hemos comentado, puesto que tiene la capacidad de poder "actualizarse" por Internet, este gusano puede cambiar su comportamiento con cada nueva versión. Por lo tanto, lo aquí indicado podría ser diferente según la variante del Confiker.



(*)Definición Rootkit:

http://www.ajpdsoft.com/modules.php?name=Encyclopedia&op=content&tid=775
MensajePublicado:
Sab Abr 04, 2009 12:58 pm
Top of PageVer perfil de usuario
Mostrar mensajes de anteriores:   
Todas las horas son GMT - 1 Horas
Publicar nuevo tema Responder al tema
Foros de discusión » Windows 10, Windows 7, Windows Server 2010, W2008, W2003  

Cambiar a:  
Key
  Puede publicar nuevos temas en este foro
No puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro
Este sitio web NO CONTIENE malware, todos los programas con código fuente aquí. Autor: Alonso Javier Pérez Díaz Google+ Síguenos en Google+