1 feb 2009

Eliminar Conficker de forma manual

Si su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:
  • Se han desactivado las directivas de bloqueo de cuenta.
  • Se han deshabilitado las actualizaciones automáticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
  • Los controladores de dominio responden con lentitud a las solicitudes del cliente.
  • La red está saturada.
  • No se puede obtener acceso a diversos sitios Web relacionados con la seguridad.
Para obtener más información acerca del gusano Win32/Conficker.b, visite la siguiente página Web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft).

Los siguientes pasos detallados pueden ayudarle a eliminar manualmente Conficker.b de un sistema:
  1. Inicie sesión en el sistema con una cuenta local.
    Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. Especialmente, no inicie sesión con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesión y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague.
  2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método.

    Nota: El servicio del servidor sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta aún más evidente en los servidores de producción, ya que este paso afectará a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor.

    Para detener el servicio Server Scheduler (Programador de tareas del servidor), utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
    1. En función del sistema que utilice, realice lo siguiente:
      • En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.
      • En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
    2. Haga doble clic en Servidor.
    3. Haga clic en Detener.
    4. Seleccione Deshabilitado en el cuadro Tipo de inicio.
    5. Haga clic en Aplicar.
  3. Detenga el servicio Programador de tareas.
    • Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.
    • Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.

      Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      322756 (http://support.microsoft.com/kb/322756/ ) Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003
      1. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y haga clic en regedit.exe en la lista Programas.
      2. Busque la siguiente subclave del Registro y haga clic en ella:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuación, haga clic en Modificar.
      4. En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.
      5. Cierre el Editor del Registro y reinicie el equipo.
  4. Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx (http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx)
    Nota: Es posible que este sitio esté bloqueado debido a una infección de malware. En ese caso, debe descargar la actualización desde un equipo que no esté infectado y transferir a continuación el archivo de actualización al sistema infectado. Se recomienda que grabe la actualización en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la única forma de copiar la actualización en el sistema infectado sea mediante una unidad de memoria USB extraíble. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualización en una unidad extraíble, asegúrese de establecer la unidad en modo de sólo lectura, siempre que esta opción esté disponible para el dispositivo. Si este modo está disponible, normalmente se habilita mediante un modificador físico que se encuentra en el dispositivo. A continuación, una vez copiado el archivo de actualización en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extraíble. Si es así, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extraíble esté conectada al equipo.
  5. Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://technet.microsoft.com/es-es/library/cc875814.aspx (http://technet.microsoft.com/es-es/library/cc875814.aspx)
  6. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  7. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar.
  8. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo está infectado con Conficker.b, se mostrará un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, asumiremos que el nombre del servicio de malware es "gzqmiijz". Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso.
  9. Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.
    Nota: Todas las entradas de la siguiente lista son válidas. No elimine ninguna de ellas. La entrada que debe eliminarse hará referencia a un nombre generado aleatoriamente que aparece en el último lugar de la lista.
    AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc axyczbfsetg
  10. Limite los permisos en la clave del Registro SVCHOST para que no se pueda escribir en ésta de nuevo. Para ello, siga estos pasos.

    Notas:
    • Debe restablecer los permisos predeterminados una vez que se haya limpiado completamente el entorno.
    • En Windows 2000, debe utilizar Regedt32 para establecer los permisos del Registro.
    1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost
    2. Haga clic con el botón secundario del mouse en la subclave Svchost y, a continuación, haga clic en Permisos.
    3. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.
    4. En el cuadro de diálogo Opciones avanzadas, haga clic en Agregar.
    5. En el cuadro de diálogo Seleccionar usuario, equipo o grupo, escriba everyone (todos) y, a continuación, haga clic en Comprobar nombres.
    6. Haga clic en Aceptar.
    7. En el cuadro de diálogo Entrada de permisos para SvcHost, seleccione Sólo esta clave en la lista Aplicar en y, a continuación, active la casilla de verificación Denegar para la entrada de permiso Establecer valor.
    8. Haga doble clic en Aceptar.
    9. Haga clic en cuando aparezca la advertencia de seguridad.
    10. Haga clic en Aceptar.
  11. En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "gzqmiijz". Con esta información, siga estos pasos:
    1. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Por ejemplo, busque la siguiente subclave del Registro y selecciónela:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz
    2. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos.
    3. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.
    4. En el cuadro de diálogo Configuración de seguridad avanzada, active las siguientes casillas de verificación:
      Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..

      Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.
  12. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar ahora el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
    1. Haga doble clic en la entrada "ServiceDll".
    2. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente:
       %SystemRoot%\System32\emzlqqd.dll
      Cambie el nombre de la referencia para que sea similar a:
       %SystemRoot%\System32\emzlqqd.old
    3. Haga clic en Aceptar.
  13. Elimine la entrada del servicio de malware de la subclave Run del Registro.
    1. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada.
    3. Cierre el Editor del Registro y reinicie el equipo.
  14. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. A continuación, se muestra un ejemplo de un archivo Autorun.inf válido normal:
    [autorun]

    shellexecute=Servers\splash.hta *DVD*

    icon=Servers\autorun.ico
    Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).
  15. Elimine cualquier archivo Autorun.inf que no parezca válido.
  16. Reinicie el equipo.
  17. Haga visibles los archivos ocultos. Para ello, escriba el siguiente comando en el símbolo del sistema:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL/v CheckedValue/t REG_DWORD/d 0x1/f
  18. Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
    1. Desplácese al directorio %systemroot%\System32 o al directorio que contiene el malware.
    2. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.
    3. Haga clic en la ficha Ver.
    4. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.
    5. Haga clic en Aceptar.
  19. En el paso 12b, ha anotado la ruta de acceso al archivo DLL de malware al que se hace referencia. Por ejemplo, ha anotado una ruta de acceso similar a la siguiente:
    %systemroot%\System32\emzlqqd.dll
    Seleccione el archivo DLL.
  20. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos:
    1. Haga clic con el botón secundario del mouse en el archivo DLL y, a continuación, haga clic en Propiedades.
    2. Haga clic en la ficha Seguridad.
    3. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir.
    4. Haga clic en Aceptar.
  21. Elimine el archivo DLL de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32\emzlqqd.dll.
  22. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema.
  23. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC).
  24. Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos:
    1. En función del sistema que utilice, instale una de las siguientes actualizaciones:
      • Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 953252. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        953252 (http://support.microsoft.com/kb/953252/ ) Cómo corregir la característica "deshabilitar la clave del Registro de Ejecución automática" en Windows
      • Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código
      Nota: La actualización 953252 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b.
    2. Escriba el siguiente comando en el símbolo del sistema:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
  25. Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f
  26. En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema
    netsh interface tcp set global autotuning=normal
Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones:
  • No se ha eliminado una de las ubicaciones de inicio automático. No se ha eliminado el trabajo de AT o un archivo Autorun.inf.
  • La actualización de seguridad de MS08-067 no se ha instalado correctamente.
Este malware puede cambiar otros valores de configuración que no se describen en este artículo de Knowledge Base. Visite la siguiente página Web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) para obtener la información más reciente acerca de el gusano Win32/Conficker.b:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Compruebe que el sistema está desinfectado.

Compruebe que se han iniciado los siguientes servicios:
  • Actualizaciones automáticas (wuauserv)
  • Servicio de transferencia inteligente en segundo plano (BITS)
  • Windows Defender (windefend, si procede)
  • Servicio de informe de errores de Windows
Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de cada comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Una vez ejecutados todos los comandos, aparecerá un mensaje similar al siguiente:
NOMBRE_DE_SERVICIO: wuauserv
TIPO : 20 WIN32_SHARE_PROCESS
ESTADO : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
CÓDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)
CÓDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)
PUNTO_DE_CONTROL : 0x0
ESPERA : 0x0
En este ejemplo, "ESTADO : 4 RUNNING" indica que el servicio se está ejecutando.
Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos:
  1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. En el panel de detalles, haga doble clic en netsvcs y, a continuación, revise los nombres de servicio que aparecen en la lista. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker.b, se mostrará un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "gzqmiijz".
Si estos pasos no resuelven el problema, póngase en contacto con el proveedor del software antivirus. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
49500 (http://support.microsoft.com/kb/49500/ ) Lista de proveedores de software antivirus
Si no hay ningún proveedor de software antivirus disponible o éste no puede ayudarle, póngase en contacto con los Servicios de soporte técnico y de asistencia al cliente de Microsoft.

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, realice lo siguiente:
  • Vuelva a habilitar el servicio del servidor.
  • Restablezca el valor predeterminado de la clave del Registro SVCHOST.
  • Actualice el equipo mediante la instalación de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un producto de administración de actualizaciones de terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o SCCM no podrá actualizar el sistema.
Fuente: http://support.microsoft.com/kb/962007

Suscríbete a nuestro Boletín

1 comentario:

  1. Exelente ! me sirvio al 100% mil gracias por compartir todo esto! son exelentes!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!