Base de conocimiento ESET - Soporte para empresas

Conficker – ¿Cómo me protejo?

ID de la solución: SOLN2209|Última revisión: 30 junio, 2014

Incidencia

El riesgo de exposición a la amenaza Win32/Conficker se debe a una vulnerabilidad de los sistemas operativos de Microsoft (Microsoft creó un parche para esta vulnerabilidad en octubre de 2008). Para ayudar a evitar la infección causada por las vulnerabilidades de los sistemas operativos de Microsoft, asegúrate de que tu equipo se encuentre siempre actualizado con la última versión de Microsoft Windows. Puedes encontrar las últimas actualizaciones en:http://update.microsoft.com/.

Para protegerte de Conficker, sigue los pasos que encontrarás en este artículo, o pulsa en el enlace apropiado para acceder a la sección específica: 

 

Solución

Prevenir la infección


A - Descarga los parches de seguridad de Microsoft

Si no deseas descargar todas las actualizaciones de Windows pero quieres asegurar al menos la protección contra la amenaza Win32/Conficker, descarga los parches (KB95864, KB957097 y KB958687) de estos Boletines de seguridad de Microsoft:

 

B - Deshabilita el Autorun y Autoplay (Windows XP y Windows Vista)

Tal vez quieras deshabilitar las funciones Autorun y Autoplay en tu sistema Windows para evitar que los creadores de códigos maliciosos saquen provecho de esos fallos de seguridad. Los dispositivos USB y otros medios extraíbles, que se ejecutan por medio de las funciones Autorun/Autoplay cada vez (de manera predeterminada) que los conectas a tu equipo, son uno de los vectores de ataque más frecuentes. Microsoft Windows Autorun y Autoplay son funcionalidades que en principio contribuyen a simplificar la ejecución de los contenidos de los CDs/DVDs:

(i) ejecutando el archivo Autorun.inf (y cualquier posible instrucción maliciosa que contenga) - vulnerabilidad del Autorun.

(ii) abriendo una ventana emergente con las acciones disponibles (algunas de las cuales pueden ser activadores maliciosos procedentes de un archivo Autorun.inf malicioso) - Vulnerabilidad del Autoplay.

NOTA:

Algunos términos utilizados en los siguientes pasos podrían ser ligeramente diferentes, dependiendo del navegador web.

  1. Si deseas deshabilitar la funcionalidad Autorun y Autoplay, haz clic con el botón derecho en este enlace para descargar el archivo DisableAutorun.reg y selecciona la opción Guardar como...
     
  2. En la ventana Guardar como asegúrate de que:

    (i) En el menú desplegable Tipo esté seleccionada la opción Todos los archivos o Entradas de registro (*.reg) (o similar, dependiendo del navegador web)

    (ii) El campo Nombre contenga el nombre exacto del archivo de registro (DisableAutorun.reg)
     
  3. Haz clic en Guardar. Confirma todas las solicitudes para guardar el archivo de registro.
     
  4. Haz doble clic en el archivo descargado y confirma la operación agregando la entrada de registro pulsando . Pulsa Aceptar para finalizar.

Advertencia:

Después de importar el archivo descargado en el Registro de Windows, cualquier archivo Autorun.inf  será ignorado por el sistema. Mientras esta operación deshabilita la función del Autorun completamente, la funcionalidad Autoplay continuará apareciendo, sin embargo, excluirá las opciones peligrosas de archivos Autorun.inf. Debes tener en cuenta que estas medidas de seguridad preventivas no eliminan infecciones potenciales con códigos maliciosos. Recomendamos que tomes precauciones cuando abras/ejecutes/hagas clic en archivos desconocidos.

¡Importante!

El archivo descargado debe guardarse con la extensión .reg para que funcione correctamente. Si al hacer doble clic sobre el archivo éste no se ejecuta, haz clic con el botón derecho sobre el icono del archivo, selecciona la opción Propiedades  y edita el nombre del archivo en la pestaña General para asegurarte de que los últimos cuatro caracteres sean .reg. Confirma la operación aceptando todas las solicitudes que aparezcan en pantalla.

NOTA:

Recomendamos que leas el siguiente artículo (en inglés) para más información sobre esta solución.


B2 ¿Cómo reactivar el Autorun y el Autoplay (Windows XP y Windows Vista)?

Si necesitas deshacer los cambios realizados en la sección B anterior haz clic con el botón derecho en este enlace para descargar el archivo ReenableAutorun.reg y repetir las instrucciones de la sección B anterior utilizando esta vez únicamente el archivo ReenableAutorun.reg.

¡Importante!

Necesitarás reiniciar el equipo para que los cambios tengan efecto.

NOTA:

Además de descargar e instalar los últimos parches de seguridad, puedes tomar otras precauciones para reducir el riesgo de infección. Haz clic aquí para obtener más estrategias para minimizar el riesgo de ataques de códigos maliciosos. Si eres un administrador de redes, pulsa aquí para obtener instrucciones para minimizar el riesgo de infecciones en la red.

 

Pasos para la desinfección (un equipo)


Si encuentras o has encontrado la amenaza Win32/Conficker, una versión totalmente actualizada del antivirus ESET (versión 3.0 o superior) eliminará la infección.

¡Importante!

Para evitar volver a infectar el sistema operativo, éste debe estar actualizado usando los enlaces detallados en la sección A.

  1. Desconecta el equipo infectado de la red y de Internet.
     
  2. Usa un PC desinfectado para descargar los respectivos parches de Windows desde la sección A. Instala todos los parches.
  3. Redefine las contraseñas de tu equipo para las cuentas de administrador usando otras más sofisticadas. Tienes que tener en cuenta que la infección puede expandirse a través de carpetas compartidas.

    (i.) Pulsa CTRL+ALT+DELETE, y entonces haz clic en Cambiar contraseña...

    (ii.) Escribe tu vieja contraseña, tu nueva contraseña, repite tu nueva contraseña para confirmarla y pulsa INTRO.
     
  4. Descarga la herramienta independiente de ESET (de nuevo, usando un PC no infectado) que eliminará el gusano. Si no tienes un producto de seguridad ESET instalado (versión 3.0 o posterior), puedes descargar y ejecutar nuestra herramienta de limpieza gratuita:
    http://download.eset.com/special/ESETConfickerCleaner.exe
     
  5. Descarga e instala la última versión de tu producto ESET.
     
 
Para comprobar que esta herramienta de desinfección ha eliminado la amenaza Conficker, ejecuta de nuevo el limpiador y luego realiza un análisis del equipo con tu producto de seguridad ESET.
 
Después de ejecutar con éxito la herramienta de desinfección de ESET recomendamos que leas el siguiente artículo informativo de Microsoft sobre los parches de seguridad importantes y cambios de grupo recomendados.

NOTA:

Si la herramienta de limpieza de ESET no elimina la infección Conficker en su totalidad, accede al anterior artículo de Microsoft que contiene instrucciones sobre la eliminación manual de esta amenaza.


 
Para maximizar la protección contra futuras amenazas asegúrate de que tu sistema operativo posee todos los parches de acuerdo a las recomendaciones de Microsoft y que tu producto ESET se encuentra actualizado.

¡Importante!

Para obtener mayores detalles acerca de la protección contra el gusano Conficker por favor accede al siguiente artículo de nuestro Blog: 1000 días de Conficker.



Pasos para la desinfección (Redes)

  1. Si no deseas descargar todas las actualizaciones de Windows pero deseas asegurarte de que estás protegido contra las amenazas Win32/Conficker, descarga e instala los parches (KB958644, KB957097 y KB958687) de los siguientes Boletines de seguridad de Microsoft en todos los equipos de tu red:

    NOTA:

    Los parches que aparecen a continuación no son necesarios para Windows 7 o Server 2008 R2 ya que el exploit utilizado por Conficker no existe en esos sistemas operativos. En cualquier caso, Windows Server 2008 requerirá la instalación de los parches.


  2. Instala y actualiza la solución de seguridad ESET en todos los equipos:

  3. Cambia todas las contraseñas de la red debido a que Conficker estará usando cualquier contraseña con que se haya iniciado sesión o haya sido obtenida mediante fuerza bruta.
     
  4. Ejecuta la Herramienta de eliminación de Conficker de ESET en cada equipo:

     
  5. Elimina cualquier tarea programada que haya sido creada por Win32/Conficker usando los siguientes comandos en los equipos cliente:

    at /delete /yes
     

Si los pasos anteriores no solucionan la incidencia, cambia todas las contraseñas y después efectúa los siguientes pasos para identificar cuáles son los equipos que aún intentan propagar la infección: 

  1. Activa la auditoría de eventos de inicio de sesión fallidos:

    1. En el Controlador de dominio, pulsa Inicio Herramientas de administración Directiva de seguridad del control de dominio.

    2. Accede a Configuración de seguridad Directivas locales Directivas de auditoría Auditar eventos de inicio de sesión.

    3. Comprueba que la opción Auditar eventos de inicio de sesión está configurada para registrar todos los eventos Correctos y Erróneos.
     
  2. Controla el registro de eventos de seguridad del Controlador de dominio para las ID 529 (si no ocurren eventos 529, Win32/Conficker utiliza contraseñas administrativas correctas, por lo que las contraseñas deberán ser cambiadas).
     
  3. Cuando visualices las propiedades del evento aparecerá un "Nombre de equipo". Éste es uno de los equipos, o el único, que intenta infectar a los restantes.
     
  4. Accede a los equipos infectados y repite los pasos 1-5.


Después de completar los Pasos para la desinfección (Redes), deberían cambiarse todas las contraseñas administrativas de nuevo para garantizar que Conficker no cuenta con esa información. Si Conficker aún muestra amenazas a pesar de haber instalado diversas herramientas en todos los equipos, aún existe algún equipo sin los correspondientes parches o el producto ESET no está instalado y actualizado correctamente.

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..