12/2/09

Como eliminar el virus Conficker / Downadup

image

Esta nueva amenaza un virus gusano conocido como Conficker o Downadup tiene algún tiempo siendo noticia en todo tipo de medios, a él se le han atribuido todo tipo de caos, desde la mas simple destrucción del sistema, hasta la caída de aviones. y ya algunos lectores me habían pedido por comentarios y correos que hablara sobre el tema , pero no lo había hecho pues de momento no me había “enfrentado a la bestia” y no me gustaba la idea de solo hacer refrito de lo que ya tanto se había hablado, y no dar una solución.

Hace poco me tope con un par de PC´s Que estaban infectadas por dicho virus y logre desinfectarlas, aunque es valido acotar que en la mayoría de los casos (según cuan avanzada esta la infección) no queda mas remedio que hacer una reinstalación completa de Windows (con posible perdida de la data).

Worm: Win32/Conficker.B es un gusano que infecta a otros ordenadores a través de una red mediante la explotación de una vulnerabilidad de Windows en el servicio (Svchost.exe). Si la vulnerabilidad es explotada con éxito, podría permitir la ejecución remota de código cuando está habilitado el uso compartido de archivos .Puede propagarse también a través de unidades extraíbles, mensajeros instantáneos y Clientes P2P. Lo mas dañino e importante de este virus es que es capaz de deshabilitar varios servicios del sistemas, productos de seguridad y bloquear el acceso web a sitios con palabras claves como:

virus
spyware
malware
rootkit
defender
microsoft
symantec
norton
mcafee
trendmicro
sophos
panda
etrust
networkassociates
computerassociates
f-secure
kaspersky
jotti
f-prot

nod32
eset
grisoft
drweb
centralcommand
ahnlab
esafe
avast
avira
quickheal
comodo
clamav
ewido
fortinet
gdata
hacksoft
hauri
ikarus
k7computing

norman
pctools
prevx
rising
securecomputing
sunbelt
emsisoft
arcabit
cpsecure
spamhaus
castlecops
threatexpert
wilderssecurity
windowsupdate

Es decir que nos será imposible actualizar el antivirus, descargar, software de limpieza y/o actualizar el sistema en el sistema infectado.

Algunos antivirus lo identifican de esta manera:

  • TA08-297A (otros)
  • CVE-2008-4250 (other)
  • VU827267 (other)
  • Win32/Conficker.A (CA)
  • Mal/Conficker-A (Sophos)
  • Trojan.Win32.Agent.bccs (Kaspersky)
  • W32.Downadup.B (Symantec)
  • Confickr (other) Confickr (otros)

Si estas siendo victima de esta molestia o simplemente sospechas y quieres salir de dudas los pasos a seguir son los siguientes:

Descarga LAS ULTIMAS VERSIONES de las siguientes herramientas (obviamente en otro PC pues en el infectado es probable que no puedas):

  1. ElistarA. y Elitriip. (links de descarga al final de la pagina en zona virus)
  2. Combofix.
  3. CCleaner.
  4. IMPORTANTE: FixDownadup (No ubicas el link de descarga? mira esta imagen)

De preferencia inicia el sistema en modo a prueba de fallos, para hacer TODOS los procesos siguientes: [si no logras iniciar en este modo de diagnostico es probable que dicho servicio también haya sido bloqueado así que intenta hacerlo todo en modo normal.]

  1. Desactivar la Restauración de Sistema. [Si tu equipo no cuenta con esta opción es probable que sea una edición modificada que lo trae deshabilitado por defecto]
    1. XP: Clic derecho sobre el icono de Mi PC/Propiedades/Ir a la pestaña Restaurar sistema/Marcar la casilla Desactivar Restaurar sistema en todas las unidades. (imagen de ejemplo)
    2. Vista:Panel de control/Sistema y mantenimiento/Sistema/Protección del sistema/Puntos de restauración automática, desmarque todas las casillas y pulse en Aceptar.
  2. Desinstala tu antivirus (es evidente que no ha funcionado y muy probable que haya sido destruido por Conficker) Si usas avast mira aquí como desinstalarlo. 
  3. IMPORTANTE: Desconéctate de la red, de ser posible de modo físico, es decir desconecta tu cabe de red o extrae/apaga tu modem, si obvias este paso no lograras eliminar a Conficker
  4. Cierra todas las ventanas y programas abiertos.
  5. Ejecuta FixDownadup, una vez finalizado su escaneo reinicia y vuelve a ejecutarlo (no es paranoia, es necesario)
  6. Ejecuta Combofix siguiendo las instrucciones.
  7. En caso de que Combofix no reinicie automáticamente tu sistema, reinícialo manualmente.
  8. Ejecuta ElistarA. y Elitriip. (uno a la vez) y reinicia el sistema.
  9. Presiona la combinación de tecleado Win + R; en la casilla Ejecutar escribe: %TEMP% y elimina TODO el contenido de la carpeta.
  10. Inicia en modo normal, instala y ejecuta CCleaner en modo limpieza (seleccionando todas las casillas) y en modo registro tantas veces como sea necesario hasta que ya no encuentren errores.
  11. NOTA: Si tu equipo esta en red haz los los anteriores pasos en cada uno de los equipos que conforman la red. de lo contrario al poco tiempo de reintegrar el equipo en la red Conficker volverá.

Con esto ya deberías estar libre de Conficker, ahora vuelve a conectar el equipo a la red y pasemos a evitar que esto vuelva a suceder.

  • Para bloquear la vulnerabilidad que aprovechó el virus, instala la actualización a que se refiere el boletín de seguridad MS08-067 de inmediato.
  • Si usas XP y aun no tienes SP3 instalado, Instálalo e instala también TODAS las actualizaciones posteriores. Puedes descargarlo todo desde este enlace. (recuerda que debes tener XP bien “validado”, ¿No lo tienes? date una vuelta por acá primero. ;) )
  • Crea en la raíz de cada partición de tu disco duro y/o unidades de almacenamiento extraíble una carpeta de nombre auntorun.inf y dale atributos de sistema de la siguiente manera:
    • Iniciamos la cabina de símbolos del sistema tecleando CMD en ejecutar (Inicio/ejecutar).
    • En la cabina de símbolos del sistema. Teclea: attrib +s +h Letradelaunidad:\autorun.inf y presiona Enter.
    • Ejemplo: ---------> attrib +s +h E:\autorun.inf

    • image

  • Aléjate de enlaces no solicitas (no les hagas clic) en email y mensajeros instantáneo (especialmente Messenger) y de momento aléjate de descargas P2P.
  • Por ultimo descarga e instala un antivirus, si deseas uno gratuito puedes probar Avast o AVG o utilizar NOD32 ESET Smart Security (puedes conseguir uno “medicado” en esta dirección)
  • Con tu antivirus instalado y actualizado haz un escaneo completo del sistema.

(clic en la impresora para imprimir este articulo)

Artículos Relacionados:

  • Desinfección y limpieza TOTAL de Windows Vista y XP.
  • Virus/Spyware Causantes de Mas infecciones.
  • Eliminar el Mensaje Vírico: Critical Error!
  • Reparar Conexiones de Red, Luego del Ataque de Virus/Spyware. (XP)
  • No Virus Thanks: Escaneo online simultaneo con 25 Antivirus.
  • Dar o Quitar Atributos a Archivos y Carpetas.
  • AppRemover Desinstalador de Aplicaciones de seguridad.

  • 5 comentarios :

    1. hola, soy nuevo por este blog,pero este comentario es lo hago por q hace poco descubri q el gusano Conficker, se oculta en un DLL, en C:\WINDOWS\system32\drlkkqh.dll, por lo menos en las 20 PCs q he revisado es lo mismo , no he podido revisar este libreria para ver sus contenido, pero alguien mas experimentad que yo podria hacerlo , el Dll,ya lo envie a ESET para su analisis, buenos gracias por este blog , y me ha sido de mucha ayuda!!!

      ResponderEliminar
    2. @Anónimo: Gracias por el comentario y el aporte; Bienvenido al blog, continua visitándome.

      ResponderEliminar
    3. Gracias JManzur por la ayuda que me prestaste al publicar cómo deshacerme de este bicho malvado... Yo no soy computina, por lo que se me hizo muy difícil lograrlo sola. Pero gracias a tus instrucciones, después del 3er formateo y de 2 días y medio estrujando mi neurona regalona, lo logré.
      De veras te pasaste! Se te agradece MUCHO!
      Un abrazo desde Chile!

      ResponderEliminar
    4. Feliz de que te sirviera.. :D Continua visitando el blog, de seguro conseguirás mucha más info de tu agrado y gracias por tan agradable comentario.

      ResponderEliminar
    5. Hola JManzur muchas gracias, de verdad estaba dudoso en un principio, sabes por aquello de no hacer todo lo que lees en internet, pero me funcionó a las mil maravillas.

      Ya la máquina que tenía en la red y estaba infectada puede ver todos los recursos que le aparecían bloqueados.


      Saludos.

      ResponderEliminar