SO_PA_EN

TODO LO QUE BUSCAS LO TENES...SOLO EN EL FORO DE SO_PA_EN!!!
ÍndiceÍndice  GaleríaGalería  FAQFAQ  BuscarBuscar  RegistrarseRegistrarse  MiembrosMiembros  Grupos de UsuariosGrupos de Usuarios  ConectarseConectarse  
Temas similares
Bienvenidos al Foro!!!
Conectarse
Nombre de Usuario:
Contraseña:
Entrar automáticamente en cada visita: 
:: Recuperar mi contraseña
Son las...
Últimos temas
» Videotutoriales PHP [GROSOS]
Sáb 01 Dic 2012, 3:07 pm por febyr1

» Sitio que ofrece 50 G / Gratis
Vie 31 Ago 2012, 1:52 am por spahcg

» hola a todos
Mar 01 Mayo 2012, 8:12 pm por maikel

» aca presentandome.
Lun 23 Abr 2012, 3:21 am por SO_PA_EN

» Tutorial de Python Muy Bueno!!(Principiantes)
Mar 27 Mar 2012, 5:30 pm por veryeasy

» Como Publicar algo sin dejar tus datos!!??
Jue 05 Ene 2012, 9:32 pm por J

» Flor 19 Años MzA
Mar 20 Sep 2011, 1:25 pm por elnegro_amilcar

» Mariel Y Agus 16 Años ambas dos... :D
Mar 20 Sep 2011, 1:23 pm por elnegro_amilcar

» Encuesta: Te gusta el Foro???
Mar 13 Sep 2011, 8:26 pm por SO_PA_EN

Atajos
 Zona General
 Zona Fotos Boliches y Jodas
 Zona Caliente
 Zona Hacking y Seguridad
 Zona Phreaking
 Zona SMS Gratis
 Zona Cultura y Ocio
 Zona Romantica
 Zona Clasificados
 Zona Chat SO_PA_EN
Mejores posteadores
SO_PA_EN (337)
 
J (116)
 
elhinchon (74)
 
Niqq (73)
 
cefe32 (45)
 
DJ_FEDE (31)
 
lucaspiqui (29)
 
YomiAngels (25)
 
titi (21)
 
DarkLion (16)
 
Sondeo
Te Gusta El Foro???
 SI
 NO
 MAS O MENOS
Ver los resultados
¿Quién está en línea?
En total hay 1 usuario en línea: 0 Registrados, 0 Ocultos y 1 Invitado

Ninguno

La mayor cantidad de usuarios en línea fue 30 el Dom 28 Oct 2012, 3:24 pm.
Estadísticas
Tenemos 444 miembros registrados.
El último usuario registrado es pacodumas.

Nuestros miembros han publicado un total de 998 mensajes en 379 argumentos.
Bloke Radio en VIVO!!!
SUBI TUS IMAGENES ACA!
Imageshack

Image Hosting by Iimageshack.us

Paciencia mientras la imagen es transferida....

Paginas Amigas
Diciembre 2016
LunMarMiérJueVieSábDom
   1234
567891011
12131415161718
19202122232425
262728293031 
CalendarioCalendario

Comparte | 
 

 Virus Conficker solucion para sacarlo!

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
SO_PA_EN
Administrador/Creador
Administrador/Creador


Masculino
Cantidad de envíos : 337
Fecha de inscripción : 08/02/2008

MensajeTema: Virus Conficker solucion para sacarlo!   Miér 01 Abr 2009, 5:04 am

EL día 13 de Enero de 2009 Microsoft actualizó el Malicious Software Removal Tool ( MSRT ), con lo cual se puede por fin limpiar el conficker.

Para el Microsoft Windows Malicious Software Removal Tool en un entorno empresarial ver: http://support.microsoft.com/kb/891716

Según F-Secure al 13 de Enero de 2009 hay casi 2.5 millones de computadores infectados con el Conficker worm, también conocido como Downadup, pero al ver la cifra del 14 de Enero del 2009, un día solamente más, ahora hay 3.5 millones de computadores infectados. Como el gusano tiene la capacidad de bajar nuevas versiones de si mismo, se esperá que la propagación siga en aumento.

Hay 3 versiones de este gusano, el Conficker.A que explota la vulnerabilidad del RPC en windows, y el Conficker.B y .C que también hacen lo mismo, más la capacidad de romper contraseñas administrativas debiles atraves del uso de un diccionario de claves. Por eso se aconseja a los administradores parchar el sistema, y a la vez usar contraseñas fuertes.

F-Secure recomienda a los administradores de sistemas que bloqueen los siguientes sitios usados por este gusano, los sitios van cambiando, asi que ver la actualización en: http://www.f-secure.com/weblog/archives/00001574.html

F-Secure también tiene una herramienta para la desinfección, la puedes bajar aquí: F-Secure Clean Downadup/Conficker

———————————————————————————————–

Luego de autoejecutarse, el gusano Conficker.A corrige la misma vulnerabilidad que acaba de explotar, descargando el parche desde el sitio de Microsoft.

El 23 de noviembre, Microsoft solucionó una vulnerabilidad crítica presente en RPC bajo Windows, sin esperar el próximo parche mensual, programado para el segundo martes de diciembre. La compañía tuvo buenas razones para acelerar la publicación del parche debido a que se ha detectado un gusano que aprovecha precisamente tal vulnerabilidad, incluso estando ya solucionada. El riesgo radica en que numerosos usuarios no han instalado la actualización, por lo que sus sistemas siguen siendo vulnerables.

El gusano Conficker.A ya ha infectado una red corporativa en Estados Unidos, y también se han detectado incidencias en Europa, Asia y Sudamérica.

El gusano en cuestión ejecuta un servicio similar a un servidor web en la computadora infectada, usándolo para descargar e instalar nuevo código maligno.

Una curiosidad es que, luego de instalarse, el gusano descarga la actualización de Microsoft que corrige el agujero de seguridad que el mismo gusano acaba de explotar. Claro está, no actúa movido por la generosidad, sino más bien por un intento de dejar fuera a otros gusanos de RPC.

Protegerse contra el gusano es relativamente fácil. Aparte de la instalación del parche de Microsoft es imprescindible tener activada constantemente un cortafuego.

En su sitio Malware Protection Center, Microsoft presentará una descripción detallada del gusano del procedimiento para proteger el sistema.

Este es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.

Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.

* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
* http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded

Una vez ingresado al sistema se copia a la siguiente ruta:

%System%\[nombre_aleatorio].dll

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
“ServiceDll” = “[Ruta_al_gusano]“

System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:

Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs

Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC ( MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:

http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:

http://trafficconverter.biz/4vir/antispyware/[Removido]

El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envía esa dirección a sistemas remotos.

Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.

Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.

El gusano intenta descargar un archivo de datos desde el siguiente URL:

http://www.maxmind.com/download/geoip/database/Geo[Censurado]

Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:

* http://www.w3.org
* http://www.ask.com
* http://www.msn.com
* http://www.yahoo.com
* http://www.google.com
* http://www.baidu.com

La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.

Los Nombres que se le conoce son:

Antivirus


Version


Last Update


Result

AhnLab-V3


-


-


-

AntiVir


-


-


Worm/Agent.NB

Authentium


-


-


-

Avast


-


-


Win32:Trojan-gen {Other}

AVG


-


-


-

BitDefender


-


-


-

CAT-QuickHeal


-


-


-

ClamAV


-


-


-

Comodo


-


-


Worm.Win32.Agent.~BM

DrWeb


-


-


-

eSafe


-


-


Suspicious File

eTrust-Vet


-


-


-

Ewido


-


-


-

F-Prot


-


-


-

F-Secure


-


-


Worm.Win32.Agent.nb

Fortinet


-


-


W32/Conficker!worm

GData


-


-


Win32:Trojan-gen {Other}

Ikarus


-


-


Worm.Win32.Agent

K7AntiVirus


-


-


-

Kaspersky


-


-


Worm.Win32.Agent.nb

McAfee


-


-


W32/Conficker.worm

McAfee+Artemis


-


-


Generic!Artemis

Microsoft


-


-


Worm:Win32/Conficker.A

NOD32


-


-


a variant of Win32/Conficker.X

Norman


-


-


-

Panda


-


-


W32/Conficker.A.worm

PCTools


-


-


Worm.Agent!sd6

Prevx1


-


-


-

Rising


-


-


-

SecureWeb-Gateway


-


-


Worm.Agent.NB

Sophos


-


-


Mal/Conficker-A

Sunbelt


-


-


-

Symantec


-


-


W32.Downadup

TheHacker


-


-


W32/Agent.nb

TrendMicro


-


-


WORM_DOWNAD.A

VBA32


-


-


Worm.Win32.Agent.nb

ViRobot


-


-


-

VirusBuster


-


-


-

Solución

Si utilizas Trend Online Scanner para la desinfección, este lo encontrará con el nombre: WORM_DOWNAD.A.

Los pasos son se encuentran en la siguiente : Trend AntiVirus

Si quieres ocupar otros Antivirus ONline, los pasos son los mismos:

1.- Si ocupas windows XP, deshabilita el Punto de restauración.

2.- Reinicia a modo a prueba de fallos con red(o modo seguro con red)

3.- Escanea por los bichos, y procede a eliminarlos:

* Symantec Security Check | proceed
* TrendMicro Housecall | proceed
* Ewido Networks | proceed
* Panda ActiveScan | proceed
* BitDefender | proceed
* F-Secure | proceed

4.- Reinicia, pero esta vez normalmente.

5.- Has otro scan para verificar
Otra Forma:

La otra es bajarse el: Autoruns for Windows , aquí si lo corremos vamos a la pestaña servicios, clickeamos también en el menu Options, por Verify Code Signatures, y si vemos bien ahora veremos :

autoruns

Y si aquí vemos un .DLL que no este verificado, ahí disparamos las alarmas, vemos como se llama el proceso por ejemplo:

TytoskyMalAware y vemos la ruta: C:\WINDOWS\system32\mardadozo.dll

Aquí podemos eliminar el servicio y el archivo que usa, y después revisar el registro como se decía anteriormente.

Espero que te haya servido esta solución!!

_________________
SALUDOS

SO_PA_ENADMIN

TODOS LOS DERECHOS RESERVADOS

SO_PA_EN®2008


...Mi MaYoR MieDo Es CoNoCeRmE a Mi MisMo...
Volver arriba Ir abajo
Ver perfil de usuario http://www.so-pa-en.com.ar
 
Virus Conficker solucion para sacarlo!
Ver el tema anterior Ver el tema siguiente Volver arriba 
Página 1 de 1.
 Temas similares
-
» ¿Alguien sabe donde venden tinte para el cabello?
» Para nosotras.....
» Todo llega para quien sabe esperar
» Buscamos Heavy para spot de publicidad remunerado
» SNSD Para W Korea

Permisos de este foro:No puedes responder a temas en este foro.
SO_PA_EN :: Zona Hacking y Seguridad Informática :: Virus y Troyanos-
Cambiar a: