Informática, Actualidad Digital, Consejos sobre seguridad, Conoce el modus operandi de los hackers para saber como protegerte.

Bienvenido al Foro el Informático. Puedes intercambiar enlaces con Nosotros.

    ¡ALERTA VIRUS! "Conficker" a la palestra, ¿como eliminarlo?.

    Comparte

    Admin
    Admin
    Admin

    Cantidad de envíos : 30
    Fecha de inscripción : 06/04/2009

    ¡ALERTA VIRUS! "Conficker" a la palestra, ¿como eliminarlo?.

    Mensaje por Admin el Jue Abr 09, 2009 2:39 pm

    Conficker, Una amenaza Real.



    El día de los Santos Inocentes, muchos se vieron afectados por la aparición de un nuevo tipo de Virus, menuda bromita se gastaron para estas fechas, ¿no?.

    Bueno, pues esto pretende ser una especie de guía para erradicar este organismo patógeno de la maquinaria receptora, y para inocularlo sobre futuras infecciones de este mismo Virus.

    Debemos de asegurarnos ante todos que estamos infectados, de nada sirve intentar limpiar un ordenador que no alberga este virus.

    La manera más simple es visitando la página web de algún creador de software de seguridad, ya sean Symantec, Avira, AVG, Panda Software, etc.
    Lo primero que debe hacer es borrar la cache del explorador de Internet, una vez borrada esa cache, debe intentar acceder a alguno de los sitios anteriormente mencionados, si consigue acceder, usted no está infectado con este virus, porque una particularidad de Conficker es bloquear el acceso a estos sitios.
    Otro síntoma de la infección podría ser que el sistema de actualizaciones automáticas de Windows dejará de funcionar sin su consentimiento, que los servicios de transferencia se vieran alterados, o posiblemente que los servicios de seguridad de Windows se hayan modificado sin su consentimiento, en definitiva, cualquier síntoma de funcionamiento anormal en el área de seguridad es un indicio para creer que usted está infectado con el virus Conficker.
    Otras señales podrían ser un tráfico desproporcionado de RED LAN, (Red de Are Local), o si las controladores de dominio responden con lentitud ante las solicitudes del cliente.
    Si usted está utilizando un antivirus que esté actualizado, es muy poco probable que esté infectado, a menos que usted haya anulado el sistema de actualizaciones automáticas de su sistema de Antivirus.
    Si pretendemos analizar nuestra lista de actualizaciones de Windows y buscamos la actualización para seguridad MS08-067 (KB 958644) no conseguiríamos sacar nada en claro, porque Conficker, también llamado, KIDO, Downup, Downadup, falsea el parche de corrección.
    Suponiendo que usted está infectado con el virus, el próximo paso es descargar una de las herramientas de limpieza especificas para este virus. Las herramientas en cuestión son , McAfee's Stinger, Eset's Win32/Conficker Worm Removal Tool, y Sophos' Conficker Cleanup Tool.
    Fuentes próximas a Avira, informan que tienen en su web una página que detecta y elimina está infección a través de internet.
    El método más simple para una eliminación momentánea es desactivarlo, para ello haga lo siguiente deberá copiar el siguiente texto en el NOTEPAD,
    REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"
    y guárdelo como algo que pueda recordar, algo así como StopConficker.REG, esto no elimina completamente el virus, pero evita que se ejecute cada vez que reinicia su computadora, una vez hecho esto acceda a internet y adquiera un antivirus actualizado.
    Características técnicas ampliamente detalladas.
    Según Avira el funcionamiento de este virus es el siguiente:

    1º Se copia a si mismo en las siguientes ubicaciones:
    • %todas las carpetas compartidas% \RECYCLER\S-%número%\%serie de caracteres aleatorios%.vmx
    • %ProgramFiles%\Internet Explorer\%serie de caracteres aleatorios%.dll
    • %ProgramFiles%\Movie Maker\%serie de caracteres aleatorios%.dll
    • %System%\%serie de caracteres aleatorios%.dll
    • %Temp%\%serie de caracteres aleatorios%.dll
    • %ALLUSERSPROFILE%\Application Data\%serie de caracteres aleatorios%.dll

    2º Crea el siguiente fichero:
    – %todas las carpetas compartidas%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
    • %random comments%
    shellexecute rundll32.exe %rutas y nombres de archivos de copias de malware% ,%serie de caracteres aleatorios%
    %random comments%

    3º Añade las siguientes claves de registro para ejecutar el servicio al inciar el sistema:
    – HKLM\SYSTEM\CurrentControlSet\Services\%palabras aleatorias%\
    Parameters\
    • ServiceDll" = "%rutas y nombres de archivos de copias de malware% "

    – HKLM\SYSTEM\CurrentControlSet\Services\%palabras aleatorias%\

    • "ImagePath" = %SystemRoot%\system32\svchost.exe -k netsvcs
    "Type" = "4"
    "Start" = "4"
    "ErrorControl" = "4"

    4º Modifica las siguientes claves de registro:
    Modifica las siguientes claves del registro:

    – [HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
    Valor anterior:
    • "Start"=dword:00000003
    Nuevo valor:
    • "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
    Valor anterior:
    • "Start"=dword:00000003
    Nuevo valor:
    • "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
    Valor anterior:
    • "Start"=dword:00000003
    Nuevo valor:
    • "Start"=dword:00000004

    – [HKLM\SYSTEM\CurrentControlSet\Services\ERSvc]
    Valor anterior:
    • "Start"=dword:00000003
    Nuevo valor:
    • "Start"=dword:00000004

    – HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Nuevo valor:
    • "Hidden"=dword:00000002
    "ShowCompColor"=dword:00000001
    "HideFileExt"=dword:00000000
    "DontPrettyPath"=dword:00000000
    "ShowInfoTip"=dword:00000001
    "HideIcons"=dword:00000000
    "MapNetDrvBtn"=dword:00000000
    "WebView"=dword:00000000
    "Filter"=dword:00000000
    "SuperHidden"=dword:00000000
    "SeparateProcess"=dword:00000000

    5º Para asegurar su propagación, el programa, el programa viral intenta conectarse a otros sitemas, tal como se describe a continuación:
    Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

    – El siguiente listado de contraseñas:
    • 000; 0000; 00000; 0000000; 00000000; 0987654321; 111; 1111; 11111;
    111111; 1111111; 11111111; 123; 123123; 12321; 123321; 1234; 12345;
    123456; 1234567; 12345678; 123456789; 1234567890; 1234abcd; 1234qwer;
    123abc; 123asd; 123qwe; 1q2w3e; 222; 2222; 22222; 222222; 2222222;
    22222222; 321; 333; 3333; 33333; 333333; 3333333; 33333333; 4321; 444;
    4444; 44444; 444444; 4444444; 44444444; 54321; 555; 5555; 55555;
    555555; 5555555; 55555555; 654321; 666; 6666; 66666; 666666; 6666666;
    66666666; 7654321; 777; 7777; 77777; 777777; 7777777; 77777777;
    87654321; 888; 8888; 88888; 888888; 8888888; 88888888; 987654321; 999;
    9999; 99999; 999999; 9999999; 99999999; a1b2c3; aaa; aaaa; aaaaa;
    abc123; academia; access; account; Admin; admin; admin1; admin12;
    admin123; adminadmin; administrator; anything; asddsa; asdfgh; asdsa;
    asdzxc; backup; boss123; business; campus; changeme; cluster;
    codename; codeword; coffee; computer; controller; cookie; customer;
    database; default; desktop; domain; example; exchange; explorer; file;
    files; foo; foobar; foofoo; forever; freedom; fuck; games; home;
    home123; ihavenopass; Internet; internet; intranet; job; killer;
    letitbe; letmein; login; Login; lotus; love123; manager; market;
    money; monitor; mypass; mypassword; mypc123; nimda; nobody; nopass;
    nopassword; nothing; office; oracle; owner; pass; pass1; pass12;
    pass123; passwd; password; Password; password1; password12;
    password123; private; public; pw123; q1w2e3; qazwsx; qazwsxedc; qqq;
    qqqq; qqqqq; qwe123; qweasd; qweasdzxc; qweewq; qwerty; qwewq; root;
    root123; rootroot; sample; secret; secure; security; server; shadow;
    share; sql; student; super; superuser; supervisor; system; temp;
    temp123; temporary; temptemp; test; test123; testtest; unknown; web;
    windows; work; work123; xxx; xxxx; xxxxx; zxccxz; zxcvb; zxcvbn;
    zxcxz; zzz; zzzz; zzzzz
    Creación de direcciones IP:
    Genera direcciones IP aleatorias, guardando solamente los primeros tres octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones creadas.
    Proceso de infección:
    Hace que la máquina afectada descargue el programa viral del ordenador infectado.
    El fichero descargado será guardado en el ordenador afectado, bajo el nombre: .\RECYCLER\S-%número%\%serie de caracteres aleatorios%.vmx

    6º El acceso a los siguientes dominios se bloquea:
    • ahnlab; arcabit; avast; avg.; avira; avp.; bit9.; ca.; castlecops;
    centralcommand; cert.; clamav; comodo; computerassociates; cpsecure;
    defender; drweb; emsisoft; esafe; eset; etrust; ewido; f-prot;
    f-secure; fortinet; gdata; grisoft; hacksoft; hauri; ikarus; jotti;
    k7computing; kaspersky; malware; mcafee; microsoft; nai.;
    networkassociates; nod32; norman; norton; panda; pctools; prevx;
    quickheal; rising; rootkit; sans.; securecomputing; sophos; spamhaus;
    spyware; sunbelt; symantec; threatexpert; trendmicro; vet.; virus;
    wilderssecurity; windowsupdate

    7º Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:

    • http://www.getmyip.org
    • http://www.whatsmyipaddress.com
    • http://getmyip.co.uk
    • http://checkip.dyndns.org

    Para buscar una conexión a Internet, contacta los siguientes sitios web:
    • baidu.com; google.com; yahoo.com; msn.com; ask.com; w3.org; aol.com;
    cnn.com; ebay.com; msn.com; myspace.com

    Para aumentar el número máximo de conexiones, modifica el fichero tcpip.sys. Esto puede dañar el fichero e interrumpir la conectividad en la red.

    8º Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

    Engancha las siguientes funciones API:
    • DNS_Query_A
    • DNS_Query_UTF8
    • DNS_Query_W
    • Query_Main
    • sendto

    Extrato sacado de: Avira - Worm/Conficker - Worm

      Fecha y hora actual: Mar Abr 25, 2017 8:31 am