El post que buscas se encuentra eliminado, pero este también te puede interesar

Eliminar Virus Conficker

Anuncios

Al trabajar en un area de sistemas de una gran empresa, todos los días me encuentro con diferentes problemas, en este caso estuvimos peleando con el famoso Conficker, dejo algunos pasos para eliminarlo (aunque no es fácil ) y siempre puede quedar algun rastro.


Restauración del sistema
Si utiliza Windows Me, XP Vista o Seven, y sabe cuándo se produjo la infección, puede usar la característica de ‘Restauración del Sistema’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar nuestras guías sobre la Restauración en Windows XP o la Restauración en Windows Vista o Seven.


Herramientas automáticas de desinfección:
Debido al gran impacto que ha supuestos este gusano, varias compañías antivirus han decidido crear herramientas gratuitas de desinfección, para que la eliminación del gusano sea más sencilla que de forma manual. A continuación se muestra un listado de las herramientas gratuitas:
oKaspersky
oSymantec
oESET (NOD32)
oF-Secure
oBitDefender
oMicrosoft Malware Removal Tool. Herramienta completa de Microsoft para eliminar malware, sus definiciones están actualizadas para que sea más sencillo eliminar el gusano Downadup.
oNorman

Importante: Aunque las herramientas gratuitas eliminan el gusano del ordenador, no instalan el parche que impide que Downadup acceda al equipo aprovechando la vulnerabilidad CVE-2008-4250. Para solucionar esta vulnerabilidad, asegúrese de tener su sistema operativo actualizado, especialmente, tener instalado el parche MS08-067.


Eliminación manual
Si no puede ejecutar las herramientas gratuitas de desinfección y no puede volver a un punto de Restauración anterior o no le funcione, es recomendable que desactive temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Vista, XP y Me. A continuación siga estos pasos para la eliminación del virus:

A.Detenga el servicio creado por acción del código malicioso siguiendo el proceso indicado:

1.Pulse 'Inicio' -> 'Ejecutar'.
2.Teclee services.msc, y pulse 'Aceptar'.
3.Localice y seleccione el servicio con nombre: "netsvcs".
4.Pulse 'Acción' -> 'Propiedades'.
5.Pulse 'Detener'.
6.Cambie el 'Tipo de inicio:' a Manual.
7.Pulse 'Aceptar' y cierre la ventana de Servicios.
8.Reinicie su equipo.

B.Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos. Si no sabe cómo se hace siga las instrucciones que se indican en este manual de Cómo iniciar su computadora en Modo a prueba de fallos.

Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

C.Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de Tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP/Vista/7, en la pestaña 'Procesos' pulse con el botón derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus. Puede obtener más información en la sección "Administrador de Tareas", de la página Eliminar librerías .DLL o .EXE.

D.A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine la siguiente clave del registro y todo su contenido:
Clave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnetsvcs

E.Elimine todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

F.Actualice todo el software de su ordenador, asegúrese especialmente de que tiene instalado el parche de Microsoft MS08-067, de este modo evitará volver a quedarse infectado por el gusano.

G.Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla. Cree un punto de restauración, le resultará útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.



Método de propagación

La primera versión de este gusano se propaga únicamente explotando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su boletín MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows, que permite a atacantes remotos ejecutar código de su elección a través de una petición RPC manipulada.

Versiones más actuales de este producto, se propagan también de las siguientes formas:
Carpetas compartidas de Microsoft protegidas con contraseñas débiles
Realiza un ataque por fuerza bruta para intentar obtener la contraseña de acceso a las carpetas compartidas. En caso de que lo logre, guardará una copia de sí mismo y creará un fichero autorun.inf, para que cuando un usuario acceda a esa carpeta, también se quede infectado por el gusano.
Utilizando este método logra infectar rápidamente redes enteras en ordenadores de las empresas. Por otro lado, es importante indicar que, aunque un ordenador tenga el parche MS08-067 instado en su equipo, puede quedarse igualmente infectado, si accede a una carpeta compartida que está infectada.
Dispositivos extraíbles
Guarda una copia de sí mismo en todos los dispositivos extraíbles que estén conectados al ordenador infectado, también crea un fichero autorun.inf.
El el fichero autorun.inf se ejecuta automáticamente cada vez que el dispositivo es conectado a un ordenador, su cometido es ejecutar la copia del gusano.
Con este método de propagación, si se conecta un dispositivo extraíble infectado, por ejemplo, un lápiz USB, en un ordenador limpio, automáticamente se ejecutará la copia del gusano y el nuevo ordenador quedará infectado.


Al que se tope con este problema, tal vez esta info le sea de útilidad.

Anuncios

0 comentarios - Eliminar Virus Conficker