Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Sophos Anti-Virus para Windows 2000+: eliminar W32/Confick y Mal/Conficker

En este artículo se describe cómo eliminar Conficker de forma manual.

Si lo desea, puede descargar las herramientas para la limpieza de Conficker en el sitio web de Sophos

Alias
Las variedades de este programa malicioso pueden conocerse con otros nombres, como por ejemplo: W32/Confick-A, W32/Confick-B, W32/Confick-C, Mal/Conficker-A, W32/CONFICKMEM-A, W32/CONFICKMEM-B, W32/CONFICK-D, WORM_DOWNAD.AD, W32/Conficker.worm, Worm:Win32/Conficker.gen!A, Worm:W32/Downadup, Net-Worm.Win32.Kido

Problema
En este artículo se describen las acciones que llevan a cabo los virus de la familia Confick en los equipos y cómo eliminarlos.

Recuerde que: Debe seguir minuciosamente todos los pasos descritos en este artículo para eliminar completamente los brotes del virus Conficker en la red. El virus se multiplica muy fácilmente y vuelve a infectar equipos y carpetas compartidas en la red. Si sigue estas instrucciones de manera estricta, el brote del virus se eliminará por completo.

Producto de Sophos y versión
Sophos Anti-Virus para Windows

Sistema operativo
Microsoft Windows

Acerca del virus

Confick utiliza principalmente tres métodos para propagarse:

1. Mediante la vulnerabilidad MS08-67
En la mayor parte de los casos, esta es la forma de entrada del virus en la red. El virus aprovecha la vulnerabilidad de Microsoft.

  • Se crea una copia del gusano en la carpeta de archivos temporales de Internet con una extensión JPG o PNG. (Estos son los primeros archivos que aparecen en el sistema infectado.)
  • Se crea un archivo dll en la carpeta System32, por ejemplo, C:\Windows\System32\amcophji.dll
  • Se crea un servicio para ejecutar el archivo dll
  • Se ejecuta como identificador en uno de los procesos svchost.exe, normalmente, el mismo que ejecuta Netsvcs

Para impedir la propagación con este método, aplique el parche y limpie el equipo.


Mediante el uso compartido de archivos de Windows 
Una vez en la red, el virus se puede propagar utilizando la vulnerabilidad de Microsoft anterior o accediendo al archivo y a las unidades compartidas del administrador en la red.

Al infectar un equipo, crea un archivo con un nombre y una extensión aleatorios en la carpeta System32. Una tarea programada, que se ejecuta como SYSTEM, ejecutará el archivo utilizando rundll32.exe.

  • Se crea un archivo dll con un nombre y una extensión aleatorios en la carpeta System32, por ejemplo, C:\Windows\System32\zdtnx.g
  • Se crea una tarea programada para ejecutar el archivo anterior utilizando rundll32.exe
  • La tarea se denomina AT*.job, siendo * un número secuencial
  • Se ejecutará en un proceso rundll32.exe
  • Se ejecutará un proceso rundll32.exe por cada tarea programada creada

Para impedir que se siga propagando por este método, el uso compartido de archivos e impresoras debe estar desactivado hasta que se hayan limpiado por completo todos los equipos.

El escaneado en acceso de Sophos impedirá que se vuelva a infectar al impedir la ejecución de estas tareas programadas. El archivo DLL del gusano puede aparecer en el disco, pero no se permitirá su ejecución si el escaneado en acceso está activado.

3. A través de medios extraíbles, como unidades USB
Al conectar una unidad extraíble a un equipo infectado, el gusano Conficker:

  • crea una copia de sí mismo en la carpeta RECYCLER\S-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx de esa unidad (siendo x números aleatorios)
  • suelta el archivo autorun.inf en el directorio raíz de la unidad.

Estos archivos y directorios están ocultos.

El archivo autorun.inf provocará la ejecución del gusano cuando la unidad se conecte a un equipo Windows con la reproducción automática activada o cuando se abra la unidad con el Explorador de Windows.

Al ejecutarse desde una unidad extraíble, el gusano se copia en el directorio Windows\system32 con una extensión .dll y configura claves del registro del sistema similares a las de los otros métodos de infección.

Qué hacer

El proceso consta de cuatro pasos y es necesario realizarlos todos

  1. Preparación del escaneado
  2. Cuarentena de la red para impedir la propagación de la infección
  3. Bloqueo de servicios para impedir la propagación o ejecución (con la política de grupos de Windows)
  4. Limpieza de las infecciones

Es aconsejable consultar el artículo de la base de conocimiento Sophos Anti-Virus: detección y control de infecciones de Conficker.

Asegúrese de que la configuración descrita en el procedimiento siguiente se aplica a todos los equipos. De esta forma, el escaneado en acceso de Sophos impedirá la carga de las tareas o servicios del virus en el equipo .

1. Preparación del escaneado

  1. Instale el parche en todos los equipos, infectados o no, con MS08-067 (KB958644)
  2. Configure las opciones siguientes en la política de escaneado en acceso de Enterprise Console:
    • Leer
    • Escribir
    • Desactive la opción 'Limpiar automáticamente'
    • Seleccione 'Nada' en las acciones
  3. Asegúrese de que HIPS tiene la configuración:
    • Detectar comportamiento sospechoso = activado
    • Detectar desbordamiento del búfer = activado
    • Sólo alertar = desactivado
  4. Active el escaneado de todos los archivos durante los escaneados en demanda:
    • Abra las políticas antivirus en Enterprise Console
    • Haga clic en 'Extensiones y exclusiones'
    • Active la opción para escanear todos los archivos
    • Haga clic en Aceptar
  5. Compruebe que la política antivirus se ha aplicado a TODOS los equipos
  6. Puede que necesite reiniciar algunos equipos. (Consulte el paso 4b.)

2. Cuarentena de la red para impedir la propagación de la infección

Escoja una de las siguientes opciones:

  • Desconecte los cables de red de todos los equipos infectados para desconectarlos de la red.
    O
  • Utilice cortafuegos para impedir el acceso a la red:
    • Si utiliza Sophos Client Firewall (que debe estar instalado en todos los equipos - consulte su licencia para asegurarse de que puede usar el producto):
      1. Abra Enterprise Console y modifique la política cortafuegos
      2. En la ficha Red local, desactive las opciones de NETBIOS para todas las conexiones a la red
    • Si utiliza el Firewall de Windows mediante la política de grupos:
      1. Modifique la política de grupos para TODOS los equipos
      2. Encontrará la configuración en Configuración del equipo|Plantillas administrativas|Red|Conexiones de red|Firewall de Windows|Perfil de dominio|Firewall de Windows: Permitir excepción Compartir archivos e impresoras entrantes
      3. Haga doble clic y desactívela.

3. Bloqueo de servicios para impedir la propagación o ejecución (con la política de grupos de Windows)

  1. Desactive el servicio del programador de tareas (recuerde que dejarán de funcionar los escaneados programados, pero puede seguir utilizando el escaneado con el botón derecho del ratón de Enterprise Console).
    • Configuración del equipo|Configuración de Windows|Configuración de seguridad|Servicios del sistema
    • Busque el servicio "Task Scheduler"
    • Defina la política.
    • Configúrela como "desactivada".
  2. Desactive la reproducción automática de unidades USB. Siga las instrucciones del artículo de la base de conocimiento de Microsoft http://support.microsoft.com/kb/953252. Si no se desactiva correctamente, el gusano puede ser capaz de ejecutarse al abrir la unidad USB en el Explorador o al hacer doble clic en Mi PC.

Todas las opciones anteriores se pueden volver a activar cuando esté seguro de que los sistemas están limpios y cuentan con los parches para MS08-67.

4. Limpieza de las infecciones

Dependiendo de las acciones llevadas a cabo en el paso 2, siga estos procedimientos:

  • Si ha desconectado los equipos:
    1. Inicie sesión con derechos de administrador local. No inicie sesión como administrador del dominio.
    2. Abra el área de cuarentena, seleccione todos los elementos y haga clic en 'Quitar de la lista'.
    3. Ejecute un escaneado completo del sistema. Se dará una de las siguientes circunstancias:
      1. Si el escaneado completo encuentra una instancia de W32/ConfickMEM-A o W32/ConfickMEM-B, quítela del área de cuarentena, realice otro escaneado completo inmediatamente y vuelva a limpiar el equipo.
        W32/ConfickMEM-A o W32/ConfickMEM-B indica que existe una infección activa de Conficker en el equipo, por lo que debería limpiarla antes que cualquier otro Conficker detectado. Esta limpieza finalizará el gusano en la memoria y permitirá que el segundo escaneado detecte archivos del gusano en el disco.
      2. Si el escaneado completo no puede escanear uno o más archivos del directorio Windows\system32 (texto del error: 'devolvió el error 0xa0040210: No se pudo acceder al archivo) y no aparecen instancias de W32/ConfickMEM-A o W32/ConfickMEM-B, compruebe que el escaneado en acceso está activado como se describe anteriormente y reinicie el equipo para realizar otro escaneado completo.
        Es posible que haya una infección activa de Conficker en el equipo que esté impidiendo el escaneado del archivo en el disco. Al reiniciar el equipo, el escaneado en acceso detendrá la carga del gusano y permitirá que se escanee el archivo.
    4. Ejecute la limpieza desde el área de cuarentena cuando haya terminado el escaneado.
    5. La limpieza puede pedirle que reinicie el equipo para eliminar todos los componentes.
    6. Vuelva a escanear el equipo para asegurarse de que está limpio.
  • Se han utilizado cortafuegos para impedir el uso compartido de archivos:

    En Enterprise Console:
    1. Borre todas las alertas de Enterprise Console.
    2. Realice un escaneado completo de todos los equipos a la vez con el escaneado del botón derecho del ratón.
    3. Haga clic con el botón derecho del ratón y seleccione 'Limpiar elementos detectados'.
    4. La limpieza puede pedirle que reinicie el equipo para eliminar todos los componentes.
    5. Vuelva a escanear los equipos.
    6. Realice la limpieza de nuevo si es necesario.

Reinfección

Si no se puede desactivar el uso compartido de archivos de Windows, o si un equipo infectado o una unidad USB entran en la red, los equipos que se limpiaron se pueden volver a infectar. En estos casos, los equipos con el escaneado de Sophos activado están protegidos, pero recibirán una copia de la DLL del gusano a través del uso compartido de archivos del equipo infectado.

Estas ocurrencias aparecerán en el área de cuarentena como detecciones del escaneado en acceso y debería concedérseles una importancia secundaria con respecto a la limpieza de equipos con detecciones activas de Conficker como las descritas anteriormente.

Una vez que se hayan limpiado todas las infecciones activas de Conficker (por ejemplo, W32/ConfickMEM-A o W32/ConfickMEM-B, como se describe en la sección 4, paso 3.1), se pueden eliminar las DLL del gusano de los equipos no infectados mediante un escaneado completo y una limpieza.

Información adicional

Consulte las páginas de seguridad de Sophos para más información sobre esta familia de virus.

Los virus de la familia Confick se propagan aprovechando la vulnerabilidad MS08-067.

Microsoft publicó un parche crítico para solucionar el problema en octubre de 2008: http://www.microsoft.com/spain/technet/security/Bulletin/MS08-067.mspx

  • Para comprobar si el parche está instalado, vaya a Agregar o quitar programas y busque KB958644 (no olvide seleccionar la opción 'Mostrar actualizaciones').
  • Active HIPS y la protección contra desbordamientos del búfer, y desactive "Sólo alertar".  Esto impedirá la reinfección, aunque HIPS no impide la ejecución del virus.
  • Esta infección también se propaga a través de unidades compartidas de red. Intenta burlar las contraseñas de las cuentas de usuario utilizando un diccionario de contraseñas habituales.  Las cuentas que no consigue abrir pueden quedar bloqueadas como consecuencia de los varios intentos de averiguar la contraseña (según la configuración de Active Directory).
  • El virus parece copiar un archivo con un nombre y una extensión aleatorios en c:\windows\system32 folder.  También crea una tarea programada denominada ATx.job, siendo x un número.  La tarea programada parece ejecutar el archivo de la carpeta system32.
  • El virus puede intentar contactar con diferentes sitios web, algunos de ellos legítimos
  • Intentará obtener actualizaciones de sí mismo desde varios dominios. El uso de cortafuegos es de gran ayuda a la hora de detener la propagación del virus.
  • Este virus también se propaga a unidades USB y otros dispositivos extraíbles, por lo que se aconseja escanearlos y limpiarlos antes de volver a utilizarlos.
  • La creación de tareas programadas nuevas se puede impedir mediante una política de grupos, según se describe en el artículo: http://www.microsoft.com/spain/technet/prodtechnol/windows2000serv/reskit/regentry/92819.mspx?mfr=true
  • El uso del cortafuegos con los métodos anteriores hará que las actualizaciones de Sophos dejen de funcionar. Existen dos formas para solucionarlo:
    • Configure los datos del servidor secundario de la política de actualización de Enterprise Console para que los equipos se actualicen desde Sophos. Consulte el artículo: http://esp.sophos.com/support/knowledgebase/article/12354.html
    • Añada una excepción a las políticas de cortafuegos para permitir las conexiones de uso compartido de archivo e impresoras a los servidores de EM Console/EM Library. El acceso de los equipos a los servidores puede hacer que se infecten.
  • Los archivos que se sueltan en los equipos están relacionados con el nombre del equipo. Es decir, para una variedad determinada de Conficker, el nombre de la DLL que se suelta en un equipo determinado siempre tendrá el mismo nombre aleatorio.

Consulte también Principales amenazas actuales: Conficker, Virtumundo

Si necesita más ayuda, póngase en contacto con soporte técnico.