Download Como combatir el virus Downadup /Conficker / Kido

page
1
page
2
page
3
page
4
Document related concepts
no text concepts found
Transcript 
Documento: Como combatir virus Conficker/Downadup/Kido
Por: Andrés Pinto
v1.3
Como combatir el virus Downadup /Conficker / Kido
Datos del virus
http://es.wikipedia.org/wiki/Conficker
http://www.microsoft.com/security/portal/SearchResults.aspx?query=Conficker
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
Una vez que se encuentre el virus en la red y se haya expandido notaremos que las
cuentas de los usuarios se bloquean, provocando una inestabilidad en la red,
problemas de velocidad en la misma, etc.
Para chequear si esta el virus, se puede ingresar a los siguientes links:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html
http://four.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/
Como comenzar a quitarlo:
En primer lugar y esto debe estar realizado desde antes es tener los parches al día,
sobre todo los siguientes (se recomienda tenerlos descargados en los idiomas y
sistemas operativos que se encuentren en la red):
KB958644
KB958687
Actualizar una PC infectada no soluciona el problema, el virus ya esta en el equipo, por
lo debe limpiarse, para realizar esto se recomienda utilizar las siguientes herramientas,
se recomiendan por orden:
Console (recomendada):
http://www.neo83666.com.ar/FTP Web/console.exe
Conficker Memory Desinfector:
http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe
Autor: Andrés Pinto
Pág. Web: www.neo83666.com.ar
Correo: neo83666@gmail.com
Documento: Como combatir virus Conficker/Downadup/Kido
Por: Andrés Pinto
v1.3
Symantec:
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadu
p.exe
ESET:
http://www.eset-la.com/support/tools/EConfickerRemover.exe
Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=ad724ae0e72d-4f54-9ab3-75b8eb148356
F-Secure:
ftp://ftp.f-secure.com/anti-virus/tools/DownadupRemovalTool.zip
Como organizarse:
En primer lugar lo que primero notan los usuarios de la red es el bloqueo de sus
cuentas, esto puede hacer que el/los administrador/es este/n avocado/s a solamente
desbloquear las cuentas.
Para evitar esto se debe descargar sobre un controlador de dominio lo siguiente:
http://www2.truman.edu/%7Ewhowd/blog/files/unlock.exe
Armar un archivo .bat por ejemplo Conficker.bat y dentro debe contener la siguiente
info:
:virus
unlock . *
ping 127.0.0.1 >null
goto virus
El ping lo que hará es darle un tiempo, el parámetro unlock . * hace el desbloqueo
todas las cuentas bloqueadas, se recomienda dejar el ping o un sleep (se encuentra en
el Resourse Kit de Microsoft) ya que sino el DC tendrá un pico de procesador.
Llega el turno de la actualización y limpieza de equipos (tanto servers, como desktops
y notebooks) aplicando los parches KB958687 y KB958644, desinfectar el equipo con
las herramientas antes nombradas recomendadas console y fixdownadup de
Autor: Andrés Pinto
Pág. Web: www.neo83666.com.ar
Correo: neo83666@gmail.com
Documento: Como combatir virus Conficker/Downadup/Kido
Por: Andrés Pinto
v1.3
Symantec, verificar las definiciones del antivirus, otros posibles problemas, etc.
Otro KB/Fix recomendado es el 967715 de Microsoft que bloquea la reproducción
automática en los Pendrive. http://support.microsoft.com/kb/967715
Actualizar los desktops en el script logon por medio de policies:
Armar un .bat, por ejemplo fix.bat colocado en conjunto con los archivos en el
netlogon que tenga los siguientes datos:
@KB958687.exe /quiet /nobackup /norestart
@KB958644.exe /quiet /nobackup /norestart
@console.exe
Recordar que los KB sirven para un sistema operativo y un idioma (el del equipo) por lo que si se
tiene Windows 2000 en ingles y Windows XP en español se deberá armar en el bat los KB de los
sistemas que se encuentren en la red, no produce nada intentar instalar un KB de Windows 2000
en uno de microsoft, solamente no lo instalara.
Actualizar manualmente los equipos:
Se puede armar un .bat, por ejemplo fixxp.bat en un share, al cual se accederá y tendrá los
siguientes KBs y archivo:
KB958687.exe
KB958644.exe
Console.exe
fixxp.bat
Dentro de Fixxp.bat se tendrán las siguientes líneas:
@KB958687.exe /passive /nobackup /norestart
@KB958644.exe /passive /nobackup /norestart
@console.exe o @fixdownadup.exe
La diferencia entre quiet y passive en los parámetros de los KB sean que passive es desatendido
pero se vera el progreso en cambio quiet es silencioso por lo que no se ve una ventana de
progreso.
Autor: Andrés Pinto
Pág. Web: www.neo83666.com.ar
Correo: neo83666@gmail.com
Documento: Como combatir virus Conficker/Downadup/Kido
Por: Andrés Pinto
Links de interés y otras herramientas:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/
http://www.gmer.net/index.php
Autor: Andrés Pinto
Pág. Web: www.neo83666.com.ar
Correo: neo83666@gmail.com
v1.3
Related documents
historia de conficker (downadup)
historia de conficker (downadup)
Trabajo de TISG - BI1-2Palmares2009
Trabajo de TISG - BI1-2Palmares2009
Las llaves de memoria USB propagan un virus por millones de
Las llaves de memoria USB propagan un virus por millones de
Información Económica - Banco Central de Cuba
Información Económica - Banco Central de Cuba
VIRUS W32/EZIO@MM
VIRUS W32/EZIO@MM
Academia Militar del Caribe
Academia Militar del Caribe
Gusanos y troyanos: el reinado del malware
Gusanos y troyanos: el reinado del malware
Malware: Introducción, tipos y tendencias
Malware: Introducción, tipos y tendencias
Malware
Malware
Seguridad en Windows 7
Seguridad en Windows 7
Reporte Viernes 12 de mayo
Reporte Viernes 12 de mayo
universidad técnica de cotopaxi
universidad técnica de cotopaxi