Protección frente al gusano Conficker
Se ha hablado mucho de cómo Conficker va a crear estragos el 1 de abril. Conficker, cuyo nombre formal es W32/Conficker.worm, comenzó a infectar sistemas a finales de 2008 aprovechando una vulnerabilidad de Microsoft Windows. Desde entonces, McAfee ha asistido a la aparición de otras dos variantes de este gusano y muchos archivos binarios (archivos listos para cargarse en memoria y ejecutarse) que llevan la carga destructiva del gusano. Conficker.C es la última variante. Su “protocolo de llamada a casa” cambiará el miércoles, 1 de abril, y puede implicar una actualización con una funcionalidad hasta ahora desconocida.
McAfee ya ofrece protección frente al gusano Conficker en sus productos para endpoints y para la red, y Microsoft ha publicado un parche de seguridad para la vulnerabilidad que la familia Conficker utiliza para propagarse. Pero muchos usuarios de ordenadores siguen preocupados por la posible infección. La siguiente información le ayudará a conocer más detalles del gusano, los pasos que deberá dar para limpiar un sistema infectado y las medidas para evitar un nueva infección.
Los síntomas de infección por Conficker incluyen lo siguiente:
- Se bloquea el acceso a los sitios relacionados con la seguridad
- Se bloquea el acceso del usuario al directorio
- El tráfico se envía a través del puerto 445 en los servidores distintos de Directory Service (DS)
- Se deniega el acceso a unidades compartidas del administrador
- Los archivos autorun.inf se mueven al directorio de reciclado o a la papelera
Método de infección
Conficker.C es la variante más reciente del gusano Conficker. El riesgo de contraer Conficker.C se limita a los sistemas que aún están infectados por las variantes anteriores, Conficker.A y Conficker.B, que aprovechan la vulnerabilidad MS08-067 de Microsoft Windows Server Service. En caso de lograr aprovechar la vulnerabilidad, puede permitir la ejecución de código remoto cuando se habilita el uso compartido de archivos. Conficker combate los esfuerzos por erradicarlo creando tareas programadas o utilizando los archivos autorun.inf para reactivarse.
McAfee ha identificado miles de archivos binarios con la carga del Conficker. Según la variante concreta, el gusano se puede propagar por redes LAN y WAN, la Web o unidades extraíbles y aprovechando contraseñas sencillas. Conficker desactiva varios servicios del sistema y productos de seguridad importantes y descarga archivos arbitrarios. Los ordenadores infectados por el gusano pasan a formar parte de un “ejército” de ordenadores afectados que se podrían utilizar para lanzar ataques contra sitios web, distribuir spam, alojar sitios web de phishing o llevar a cabo otras actividades maliciosas.
Eliminación
Recomendamos a los clientes que sigan estos pasos para eliminar el gusano W32/Conficker.worm y evitar que se propague:
- Instale la actualización de seguridad de Microsoft MS08-067: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
- Limpie los sistemas infectados y reinicie
Utilice soluciones antimalware, como McAfee VirusScan Plus o ToPS for Endpoint, para limpiar la infección. Utilice técnicas de detección de comportamientos, como la protección de desbordamiento de búfer de Host IPS, para evitar futuras infecciones. Esto es importante, porque Conficker se puede propagar por soporte portátiles, como las unidades USB infectadas. Al acceder a los soportes, el sistema procesa autorun.inf y ejecuta el ataque. Para más información, lea el documento de los laboratorios McAfee LabsTM “Cómo combatir el gusano Conficker.” - Identifique otros sistemas con riesgo de infección
Necesita identificar qué sistemas corren peligro. La lista incluye los sistemas a los que no se ha aplicado el parche contra la vulnerabilidad de Microsoft MS08-067 o que carecen de controles de protección preventiva para reducir la vulnerabilidad. McAfee Vulnerability Manager y McAfee ePolicy Orchestrator pueden identificar los sistemas que son vulnerables y que no están protegidos. - Limite la capacidad de la amenaza para propagarse
El uso de IPS de red en puntos estratégicos de su red limitará rápidamente la capacidad de la amenaza para propagarse. Esto le da tiempo para actualizar las firmas antivirus de los equipos cliente o para modificar las directivas de forma que se bloquee la amenaza mediante los controles de comportamiento.
Cobertura del gusano Conficker por los productos de McAfee
| Producto McAfee | Cobertura |
|---|---|
| McAfee VirusScan Plus McAfee Internet Security McAfee Total Protection |
Los últimos archivos de firmas (DAT) incluyen la detección y la reparación de este gusano; si ha realizado una actualización recientemente, ya está protegido. |
| ToPS Endpoint y ToPS Service | Los archivos de firmas (DAT) incluyen la detección y la reparación de este gusano Se supone que la protección de desbordamiento de búfer en el motor de análisis y el desbordamiento de búfer genérico en el IPS de host evitarán los ataques de ejecución de código. El IPS de host también incluye una firma para “Vulnerabilidad en Server Service que podría permitir ejecución de código remoto” (CVE-2008-4250) |
| Network Security Platform (IntruShield) | Incluye cobertura para la “Vulnerabilidad de ejecución de código remoto de Microsoft Server Service” |
| McAfee Vulnerability Manager (VM) | Incluye cobertura para MS08-067. Identifica los equipos vulnerables a la infección por Conficker así como los equipos infectados por Conficker C |
| McAfee Web Gateway (antes Webwasher) | Incluye una firma para detectar y bloquear el gusano en el gateway |
| McAfee SmartFilter | Proporciona información de clasificación y reputación de los dominios asociados al gusano Conficker |
| Herramienta de detección de Conficker de McAfee | Identifica los equipos infectados por Conficker.C |
Herramienta de eliminación de Conficker
Entradas en la biblioteca de virus de McAfee
Podcast de McAfee Labs
Comuníquese con nosotros
Póngase en contacto con su representante de McAfee o socio de canal para cualquier pregunta; llámenos al 888.847.8766 a cualquier hora.