Conficker - Consejos para Limpiarlo para Usuarios Empresariales
[Actualizado 28-ene 21:38hs]: Eliminar Conficker de forma manual
Como Limpiar Las Infecciones De Conficker En La Compañía
1. Investigue minuciosamente sobre la amenaza del malware. Determine como ataca a los sistemas y cual es el mejor enfoque para limpiarlo. Verifique varias fuentes y aprenda tanto como sea posible antes de limpiarlo.
2. Corporativamente, e incluso para usuarios particulares, la mejor práctica es APAGAR el sistema infectado, desenchufarlo de la red y dejarlo de usar por completo.
3. En su lugar, trabaje con el sistema mientras está desconectado de la red. Es recomendado grabar un CD o DVD desde una fuente no infectada, limpia, o usar un ambiente de laboratorio aislado de la red principal. Las herramientas que pueden ser usadad deben incluir el parche MS08-067 y varios de los programas limpiadores que corren en forma autónoma (F-Secure, MSRT, y otros). Un CD es más seguro que un USB dados los riesgos que hay con AUTORUN.
4. Ponga en linea nuevamente el sistema después que esté aislado de la red principal. Luego use un software anti-virus actualizado para escanear malware adicional remanente. Si el software AV no ofrece una buena capacidad de detección de rootkit considere descargar el detector de rootkit Blacklight de F-Secure u otra herramienta similar. Software anti-spyware y otros productos de detección de malware deberían ser utilizados para asegurar que el sistema esté tan limpio como sea posible.
5. Si encuentra malware adicional, evalúelo detenidamente. Mientras que una infección de Conficker puede ser limpiada sin necesidad de reconstruir el sistema, las infecciones de malware adicionales recibidas mientras el sistema estaba infectado necesitan ser evaluadas en termino o daños y como pueden ser eliminadas exitosamente. En algunos casos, podría ser beneficiosos reconstruir (reinstalar) el sistema.
6. Después de efectuar la limpieza de Conficker, instale el parche MS08-067 antes de volver la PC o Servidor en linea nuevamente.
7. Después de instalar el parche MS08-067, es muy importante REINICIAR el sistema, para que el parche comience a estar operativo nuevamente y antes de volver a conectar el servidor o la PC a la red.
8. Finalmente, si tiene contraseñas débiles, carpetas compartidas en la red, o problemas con el AUTORUN en medios removibles - es importante reforzar esas áreas para prevenir nuevos ataques. De otra manera, Conficker u otro malware continuará reinfectando servidores o PCs vulnerables hasta que la causa raíz sea solucionada.
9. Registre todos los servidores y puestos de trabajo que haya limpiado para referencia futura
10. Re-evalue periódicamente los sistemas que fueron infectados para asegurarse que sus defensas están resistiendo. Use sniffers de red. IDS, software AV y otras herramientas para monitorear cuidadosamente el trafico entrante y saliente.
Traducido para blog de Segu-info por Raúl Batista
Autor: Harry Waldron
Fuente: http://msmvps.com/blogs/harrywaldron/
Como Limpiar Las Infecciones De Conficker En La Compañía
1. Investigue minuciosamente sobre la amenaza del malware. Determine como ataca a los sistemas y cual es el mejor enfoque para limpiarlo. Verifique varias fuentes y aprenda tanto como sea posible antes de limpiarlo.
2. Corporativamente, e incluso para usuarios particulares, la mejor práctica es APAGAR el sistema infectado, desenchufarlo de la red y dejarlo de usar por completo.
3. En su lugar, trabaje con el sistema mientras está desconectado de la red. Es recomendado grabar un CD o DVD desde una fuente no infectada, limpia, o usar un ambiente de laboratorio aislado de la red principal. Las herramientas que pueden ser usadad deben incluir el parche MS08-067 y varios de los programas limpiadores que corren en forma autónoma (F-Secure, MSRT, y otros). Un CD es más seguro que un USB dados los riesgos que hay con AUTORUN.
4. Ponga en linea nuevamente el sistema después que esté aislado de la red principal. Luego use un software anti-virus actualizado para escanear malware adicional remanente. Si el software AV no ofrece una buena capacidad de detección de rootkit considere descargar el detector de rootkit Blacklight de F-Secure u otra herramienta similar. Software anti-spyware y otros productos de detección de malware deberían ser utilizados para asegurar que el sistema esté tan limpio como sea posible.
5. Si encuentra malware adicional, evalúelo detenidamente. Mientras que una infección de Conficker puede ser limpiada sin necesidad de reconstruir el sistema, las infecciones de malware adicionales recibidas mientras el sistema estaba infectado necesitan ser evaluadas en termino o daños y como pueden ser eliminadas exitosamente. En algunos casos, podría ser beneficiosos reconstruir (reinstalar) el sistema.
6. Después de efectuar la limpieza de Conficker, instale el parche MS08-067 antes de volver la PC o Servidor en linea nuevamente.
7. Después de instalar el parche MS08-067, es muy importante REINICIAR el sistema, para que el parche comience a estar operativo nuevamente y antes de volver a conectar el servidor o la PC a la red.
8. Finalmente, si tiene contraseñas débiles, carpetas compartidas en la red, o problemas con el AUTORUN en medios removibles - es importante reforzar esas áreas para prevenir nuevos ataques. De otra manera, Conficker u otro malware continuará reinfectando servidores o PCs vulnerables hasta que la causa raíz sea solucionada.
9. Registre todos los servidores y puestos de trabajo que haya limpiado para referencia futura
10. Re-evalue periódicamente los sistemas que fueron infectados para asegurarse que sus defensas están resistiendo. Use sniffers de red. IDS, software AV y otras herramientas para monitorear cuidadosamente el trafico entrante y saliente.
Traducido para blog de Segu-info por Raúl Batista
Autor: Harry Waldron
Fuente: http://msmvps.com/blogs/harrywaldron/
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!