Virus Conficker o Downadup, una vacuna y cómo eliminarlo

Recientemente Microsoft publico un boletín de seguridad (MS08-67) en el que se pone de manifiesto un agujero de seguridad crítico en los sistemas Windows, que permite la ejecución remota de código. Casi de forma paralela aparece el gusano Conficker, un virus capaz de explotar esa vulnerabilidad y atacar redes enteras descargándose a si mismo desde ordenadores infectados.

El día que detectamos el virus por primera vez, ningún motor antivirus era capaz de detectarlo y por tanto su alta capacidad de propagación e infección hizo que esos primeros días el virus se distribuyera de manera imparable por multitud de ordenadores de redes enteras de empresas y organizaciones.

Entre otras operaciones, el virus se copia como dll en el directorio del sistema (Windowssystem32) y coloca una clave en el registro para lanzarse al inicio de windows como servicio.

Si el virus está en ejecución es complicado eliminarlo y también que un antivirus lo detecte, por tanto para librarnos de él deberíamos seguir los siguientes pasos:

1) Actualizar nuestro sistema instalando el parche contra la vulnerabilidad (el parche se puede descargar aquí)

2) Reiniciar el equipo en modo prueba de errores

3) Escanear y eliminar el virus con un antivirus actualizado, o usar la vacuna que he preparado para eliminarlo.

4) Arrancar el equipo de modo normal y pasar de nuevo un antivirus, (En este caso, puede ser un antivirus online )

La vacuna tiene un comportamiento simple pero eficaz, al ejecutarla detecta la dll del virus en el directorio del sistema y la elimina si la encuentra. La detección se basa en firmas, por tanto sólo es válida para la versión de conficker que yo he analizado. Al ejecutarla genera un archivo de registro en c:cfpatch.log donde nos indica si ha encontrado el virus o no. Para que funcione debemos usarla en modo a prueba de fallos.

Puedes descargar la vacuna. No hace falta decir que el uso de esta vacuna es completamente bajo tu responsabilidad.

Vacuna para Conficker / Downadup

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s