Propagacion de nuevas variantes de Conficker

 

Microsoft publicó, a finales de Octubre de 2008, el parche MS08-067, que ya indicamos era importante aplicar, al ser una vulnerabilidad crítica de Windows, y permitir ejecución remota de código por intrusión a través de RPC (Remote Procedure Call) (información sobre el parche MS08-067).Aquellos usuarios que lo aplicaron ya no se infectaron con el primer Conficker que apareció al mes siguiente, en Noviembre, para los que no lo tenían aplicado quedaron expuestos a su infección y se infectaron, implementamos su control y eliminación en nuestra utilidad EliTriIP.

A finales de Diciembre ha aparecido una segunda generación de esta familia, corregida y aumentada, que entra igualmente por el indicado agujero en los ordenadores que aun no tienen aplicado dicho parche y que una vez infectado el ordenador, se propaga por la red a través de comparticiones administrativas y unidades extraibles como pendrives, memorias SD en general, MP3, camaras digitales, etc., y descarga actualizaciones de sí mismo y ficheros malwares, de determinadas webs.

Además del antivirus de McAfee actualizado para su control y eliminación en máquinas infectadas (arrancando en “Modo seguro”), es necesario tener actualizado el sistema.

Para poder instalar el parche sin recibir otra vez la intrusión del malware en dicha operación de descarga del parche, así como para desactivar la autoejecución de los dispositivos de almacenamiento USB, donde no se haya vacunado aun con nuestra utilidad EliPen muy recomendable (ver descripción EliPen), y aislar el fichero concreto para poder enviarnos el mismo para analizar, hemos creado la utilidad USB445.

Acciones que realizará la utilidad USB445:

1.- Cambiará la política de ejecución de los AUTORUN.INF, limitándola a las unidades de CD/DVD (que luego podrá modificarse y aplicar a las unidades extraíbles procesándolas con el EliPen indicado)

2.- Bloqueará, en dicha sesión, el acceso de intrusión por el puerto TCP 445 para impedir que durante la descarga e instalación del parche, pueda volver a intrusionar dicho troyano.

3.- Comprobará si existe el fichero JWGKVSQ.VMX en la carpeta  \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\  de todas las unidades disponibles en el ordenador, y si es el caso, lo moverá a la carpeta C:\MUESTRAS para ponerlo fuera de circulación, así como poder enviarnos muestra para analizar las variantes que vayan saliendo de esta familia.

Tras ejecutar dicha utilidad, podrá lanzarse un windowsupdate para actualizar parches (especialmente el MS08-067), tras ello, arrancar el sistema en “Modo seguro” y lanzar el antivirus para eliminar el virus en cuestión, así en todas las maquinas infectadas, y cuando estén limpias, poder conectarlas de nuevo entre si, libres de este virus y protegidas contra él.

De todas formas recuérdese que si se conecta una máquina infectada a dicha red, se infectará de nuevo la red, por lo que se recomienda especial cuidado con los portátiles, antes de conectarlos a cualquier red, revisar que no estén infectados.

Tras ello, ver si en C:\MUESTRAS\ hay algún fichero, en tal caso, enviárnoslo para analizar y si no tiene los dispositivos de almacenamiento USB vacunados contra propagación de virus de dicho tipo, vacúnelos con el EliPen.

Han sido relativamente pocos los usuarios infectados, gracias a tener aplicado el parche en cuestión, pero algunos, con muchos ordenadores y sin los parches al día, han sido víctimas de este virus y para los asociados que lo precisen, ofrecemos esta información y las utilidades en cuestión.

Descarga de las utilidades:

USB445.exe

EliPen.exe

Nota: El puerto TCP 445 será normalizado a partir del siguiente reinicio del sistema, pero la desactivación de la ejecución automática de Autorun.inf permanecerá indefinidamente, salvo que se modifique manualmente.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA   13 de Enero de 2009