Win32/Conficker.A infecta Windows 7, Vista SP1 y XP SP3
Microsoft a traves del programa Microsoft Malware Protection Center (MMPC) ha reportado que en las ultimas horas hay una gran actividad del gusano Win32/Conficker.A que afecta a Windows Vista SP1, Windows 7 y Windows XP SP3.
Este ataque es considerado como critico y afecta a la vulnerabilidad MS08-067 parcheada por Microsoft en Octubre. Symantec ha bautizado este virus como TA08-297A, CVE-2008-4250, VU827267 W32.Downadup , Win32/IRCBot.worm.Gen (AhnLab) , Win32/IRCBot!generic (CA); WIN.IRC.WORM.Virus (Dr.Web); Exploit-DcomRpc.gen (McAfee); Mal/IRCBot-B (Sophos )
Este gusano explota los ordenadores con el proceso SVCHOST.EXE vulnerable , abriendo despues un puerto aleatorio entre el 1024 y el 10000, actuando despues como un servidor web.
A menudo se propaga como si fuera un archivo .jpg y despues se copia en el disco duro como si fuera una libreria .dll. Aparte de USA se ha detectado el gusano Win32/Conficker.A en Alemania, España, Francia, Italia, Taiwan, Japon, Brasil, Turkia, China, Mexico, Canada, Argentina y Chile.
========================================================================================Cientos de servidores vulnerables han sido infectados con el gusano Conficker.A
PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado un importante incremento del número de infecciones causadas por el gusano Conficker.A. Este gusano se está propagando aprovechando una vulnerabilidad en el servicio de servidor de Windows (MS08-067) ya resuelta.
Una vez ha infectado un equipo, Conficker.A descarga en el mismo el falso antivirus Adware/Antivirus2009, diseñado para hacer creer a los usuarios que están infectados con decenas de ejemplares de malware e incitarles a comprar un antivirus que, en teoría, soluciona el problema. El adware promociona ese falso antivirus con Pop-ups, banners, etc. El fin último es conseguir que el usuario compre y obtener un beneficio económico de estas infecciones.
Además de descargar este falso antivirus, Conficker.A se conecta a diversas páginas web para obtener direcciones IP. Después escanea esas direcciones en busca de ordenadores que tengan el puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente al que afecta la vulnerabilidad MS08-067.
En caso de encontrar algún equipo vulnerable, descarga en él una copia de sí mismo.
PandaLabs ya recomendó a los usuarios en su blog (
http://pandalabs.pandasecurity.com/archive/New-critical-Security-Bulletin-MS08_2D00_067.aspx ) que actualizasen sus equipos para solucionar esta vulnerabilidad, ya que implicaba un riesgo notable. Aquellos que aún no lo hayan hecho, pueden descargar el parche que soluciona este problema de seguridad desde aquí:
http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx Puede analizar gratuitamente su equipo para saber si está infectado con el gusano Conficker.A en esta dirección:
www.pandasecurity.com/activescan ============================================================================================Eliminar gusano Win32/Conficker.A
Ayer os pusimos una noticia sobre gusano Win32/Conficker.A , y como esta teniendo una gran repercusion, os vamos a dar mas informacion sobre este peligroso gusano.
Como deciamos Win32/Conficker.A se propaga como un archivo .jpg , copiandose en el PC infectado como una simple libreria .dll con un nombre entre 5 y 8 caracteres, en el directorio del sistema donde se encuentra kernell32.dll para ejecutarse como un serviciobuscando despues el archivo ejecutable de Windows "services.exe" para inyectarse en el mismo proceso.
Tambien el registro de Windows se modifica:
Añade el valor: "DisplayName"
Con : "0"
En la subclave: HKLM\SYSTEM\CurrentControlSet\Services\vcdrlxeu
Añade el valor: "ServiceDll"
en: "<system folder>\nxyme.dll"
en la subclave: HKLM\SYSTEM\ControlSet001\Services\vcdrlxeu\Parameters
Continuar leyendo Eliminar gusano Win32/Conficker.A
Una vez realizadas estas acciones el gusano abre un puerto aleatorio entre el 1024 y el 10000 para continuar propagandose , ademas de copiarse a si mismo en memoria para ser un proceso residente.
Como curiosidas comentar que para conocer la localizacion del sistema infectado utiliza estos sites:
getmyip.org
getmyip.co.uk
checkip.dyndns.org
ademas de que no se ha reportado ninguna infeccion en Ucrania.... ¿?
Como eliminar y prevenir gusano Win32/Conficker.A
1.- Activa un firewall en tu sistema
2.- Actualiza tu copia de Windows, muy importante que descargues e instales la actualizacion
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx3.- Actualiza tu antivirus
4.- Muchisima precaucion en el correo electronico: desconfia y analiza antes cualquier archivo adjunto que recibas
5.- Precaucion tambien en los enlaces clickeables de las paginas web
6.- No caigas en las tipicas trampas de ingenieria social en el correo electronico...
A dia de hoy, un antivirus es capaz de reconocer el gusano Win32/Conficker.A y eliminarlo
Fuentes
www.infospyware.eu, www.razorman.net, PandaLabs 
