lunes, 2 de marzo de 2009

Eliminar virus Win32/Conficker.AE


Funcionamento do virus


Este virus, trátase dun gusano que se propaga explotando a vulnerabilidade do servicio Servidor: CVE-2008-4250 (MS08-067), por carpetas compartidas en rede de Microsoft e por dispositivos extraíbles (Pen Drives).

Cando este gusano se executa nun equipo, desactiva un número de servicios de sistema tales como as actualizacións de Windows, o centro de seguridade, Windows Defender e o servicio de reporte de erros.

Tamén se conecta a un servidor, do cal recibe ordes máis detalladas para propagarse, ademais facilita información persoal e descarga e instala código malicioso no equipo da víctima. Conficker tamén se vincula a si mesmo a un determinado proceso de Windows como poden ser svchost.exe, explorer.exe e services.exe, o que dificulta a súa eliminación ó ir camuflado.

A variante A de Conficker creará un servidor HTTP e abrirá un porto aleatorio entre 1024 e 10000 no Firewall de Windows (agregado como unha excepción cun nome aleatorio). Se un equipo remoto é atacado con éxito, a víctima conectarase de novo con este servidor HTTP e descargará unha copia do gusano. Tamén borrará os puntos de restauración do sistema e descargará o código malicioso (malware) dun servidor web desenrolado polo creador deste virus. Polo tanto Conficker é especialmente perigoso para unha rede, xa que ademais de danar o sistema fará que a rede vaia moito máis lenta; así que sobra dicir que debemos ter un antivirus actualizado diariamente.

O problema é que unha vez que estamos infectados con este gusano, non chega con escanear o disco duro cun antivirus, xa que por moi actualizado que esté o máis seguro é que non sexa capaz de eliminalo, simplemente certificará que estamos infectados.

Conficker tamén é moi coñecido polo nome de Downadup, e podería tamén ser atopado cos seguintes alias: W32/Confick-A, W32/Confick-B, W32/Confick-C, Mal/Conficker-A, 32/CONFICK-E, 32/CONFICK-D, WORM_DOWNAD.AD, W32/Conficker.worm, Worm:Win32/Conficker.gen!A, Worn:W32/Downadup, Net-Worm.Win32.Kido.

Eliminación do virus

Unha das maneiras de eliminar este engorroso gusano, sería a seguinte:

 1. Logarse co usuario administrador durante todo o proceso.
 2. Desconectamos o equipo da rede; directamente desenchufar o cable ethernet ou desactivar a WIFI.
 3. Como imos a ter que utilizar aplicacións descargadas de internet e a única maneira de meterllas vai a ser a través dun USB, por seguridade desactivaremos a reproducción automática de dispositivos externos.
 4. Dende outro equipo san e conectado a internet, descargamos unha aplicación de Symantec especialmente creada para a eliminación deste virus (Symantec W32.Downadup Removal Tool): http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe
 5. Para curarnos en saúde de cara o futuro descargamos tamén a actualización de seguridade de Windows que corrixe a vulnerabilidade MS08-067: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=0d5f9b6e-9265-44b9-a376-2067b73d6a03. Facemos click sobre Descargar.
 6. Tamén podería sernos de axuda a descarga de Autoruns, aínda que moito ollo con esta aplicación porque se non o utilizamos con coidado poderíamos borrar accidentalmente claves de rexistro e polo tanto inutilizalo sistema totalmente. Quedades avisados os usuarios de que este portal non se fai responsable do mal uso da mesma. Pódese conseguir dende http://download.sysinternals.com/Files/Autoruns.zip
 7. A continuación metemos estos arquivos nun Pen Drive, a ser posible libre de virus.
 8. Insertamos o Pen Drive no equipo afectado e copiamos os arquivos no escritorio. Podería cabela posibilidade de que o Pen Drive se infectase co gusano, polo tanto deixámolo conectado ó equipo.
 9. Desactivamos o antivirus para que non interfira ca aplicación de Symantec e que poida detectala como un posible virus.
 10. Executamos a aplicación de Symantec, FixDownadup.exe, e facemos click sobre Start para que comece o escaneo do sistema. Esta operación podería durar uns 30 minutos. Ó remate da mesma deberíanos saír un reporte coma o amosado na imaxe.


 11. En canto fagamos click en Aceptar, a aplicación vainos a preguntar se desexamos instalar a actualización de Windows que corrixe a vulnerabilidade MS08-067. Como non temos acceso a internet dende este equipo, cancelamos esta pregunta e reiniciamos o equipo.
 12. En canto volvamos a iniciar sesión, debemos instalar a actualización de seguridade de Microsoft descargada previamente.
 13. Agora xa estamos curados en saúde porque o proceso camuflado do gusano xa non está levantado e deste xeito o servicio HTTP que portaba tampouco está en funcionamento. Así que, agora tan só queda eliminar os restos deixados polo virus:

  • Borramos o contido da carpeta C:\Documents & Settings\Network Service\Configuración Local\Archivos temporales de internet\Content.IE5. Se non vemos esta ruta, desactivamos Ocultar archivos ocultos. Podería ser posible que o gusano se almacenase noutra ruta distinta. Senón tamén se poderían borrar os arquivos temporais de internet dende as propiedades da unidade C:\, faríamos click en Liberar espacio en disco, seleccionaríamos a casilla de Archivos temporales de internet e iniciaríamos a limpeza.
  • Executamos Autoruns para eliminar a clave de rexistro que creaba o gusano cun nome aleatorio para levantar o servicio camuflado baixo o proceso svchost.exe. Na pestaña Everything imos á sección HKLM\System\CurrentControlSet\Services. Ahí dentro deberíamos atopar esa clave xa que debería sela única que figura cun icono distinto ós demais, aínda que é posible que teñamos máis de unha. Facemos click co botón dereito encima da clave ou claves mencionadas e seleccionamos Delete. A continuación amósase unha imaxe de exemplo.

  • Por último eliminamos o porto aberto nas excepcións do Firewall de Windows. Tamén o recoñeceremos fácilmente porque será o único que vexamos cun nome aleatorio do tipo uujarf, axumy (coma o da imaxe), etc.


 14. Por último, reiniciamos o equipo, e unha vez que volvamos a iniciar poderemos comprobar que todo esté en orde e asegurámonos de ter activado o antivirus e por seguridade sería convinte facerlle un formateo físico ó Pen Drive utilizado anteriormente.