Skip to main content
Califique este contenido 

 

Gusano Conficker: ayuda para proteger a Windows contra Conficker

Publicación: 6 de febrero de 2009 | Actualizado: 10 de abril de 2009

Esta página está diseñada para proporcionar a los clientes profesionales de TI la información que necesitan para proteger sus sistemas del gusano Conficker o para recuperar sistemas que se infectaron.

Si es cliente, visite Protéjase del gusano informático Conficker.

Acerca de Conficker

El 23 de octubre de 2008, Microsoft lanzó una actualización de seguridad crítica, MS08-067, para resolver una vulnerabilidad en el servicio Server de Windows que, en el momento del lanzamiento, enfrentaba un ataque dirigido limitado. La vulnerabilidad podía permitir que un atacante anónimo tomara el control total de forma satisfactoria de un sistema vulnerable a través de un ataque basado en red, el tipo de vectores normalmente asociados a “gusanos” de red. Desde el lanzamiento de MS08-067, el Centro de protección contra malware de Microsoft (MMPC) ha identificado las siguientes variantes de Win32/Conficker:

 *También conocido como Conficker B++
 **También conocido como Conficker Conficker.C y Downadup.C

Protección de los equipos contra Conficker

  1. Aplique la actualización de seguridad asociada a MS08-067. Consulte el boletín de seguridad para obtener más información acerca de la vulnerabilidad, el software afectado, las herramientas y la orientación de detección e implementación, y la información de la implementación de actualizaciones de seguridad.
  2. Asegúrese de estar ejecutando un software antivirus actualizado de un proveedor confiable, como Forefront Client Security de Microsoft o Windows Live OneCare. El software antivirus también se puede obtener de terceros de confianza, como los miembros de Virus Information Alliance.
  3. Compruebe si existen protecciones para software o dispositivos de seguridad, como antivirus, sistemas de detección de intrusión basados en red o sistemas de prevención de intrusión basados en host. Microsoft Active Protection Program (MAPP) proporciona a los asociados un acceso oportuno a información de vulnerabilidades de Microsoft. Para obtener una lista de asociados y vínculos a sus protecciones activas, visite la página Asociados de MAPP .
  4. Aísle sistemas heredados mediante métodos descritos en Guía de mitigación de amenazas para Microsoft Windows NT 4.0 y Windows 98.
  5. Implemente contraseñas seguras, según se describe en las notas del producto Creación de una directiva de contraseña segura.
  6. Deshabilite la característica de reproducción automática a través del registro o mediante directivas de grupo, según se analiza en el Artículo 967715 de Microsoft Knowledge Base . Microsoft lanzó Security Advisory 967940 para notificar a los usuarios que las actualizaciones para permitirles deshabilitar las capacidades de reproducción automática/ejecución automática se implementaron a través de canales de actualización automática.
    NOTA: los clientes de Windows 2000, Windows XP y Windows Server 2003 deben implementar la actualización asociada al Artículo 967715 de Microsoft Knowledge Base para poder deshabilitar correctamente la característica de ejecución automática. Los clientes de Windows Vista y Windows Server 2008 deben implementar la actualización de seguridad asociada al Boletín de seguridad MS08-038 para poder deshabilitar correctamente la característica de ejecución automática.

Eliminación de Conficker de los sistemas

Descargue manualmente la Herramienta de eliminación de software malintencionado de Windows (MSRT) en equipos limpios e impleméntela en equipos infectados para limpiar los sistemas infectados.

Escala de tiempo de Conficker

  • El 21 de noviembre de 2008, el MMPC identificó Worm:Win32/Conficker.A. Este gusano busca propagarse al explotar las vulnerabilidades que se abordan en MS08-067 mediante ataques basados en red. El MMPC agregó firmas y detección a Microsoft Forefront, Microsoft OneCare y al explorador de seguridad de Windows Live OneCare el mismo día.
  • El 25 de noviembre de 2008, el MMPC comunicó información acerca de Worm:Win32/Conficker.A a través de su blog.
  • El 29 de diciembre de 2008, el MMC identificó la segunda variante, Worm:Win32/Conficker.B y agregó firmas y detección a Microsoft Forefront, Microsoft OneCare y al explorador de seguridad de Windows Live OneCare el mismo día.
    NOTA:  Worm:Win32/Conficker.B puede tener éxito frente a sistemas que han aplicado la actualización de seguridad asociada a MS08-067.
  • El 31 de diciembre de 2008, el MMPC comunicó información acerca de Worm:Win32/Conficker.B a través de su blog.
  • El 13 de enero de 2009, el MMPC incluyó la capacidad de eliminar Worm:Win32/Conficker.A y Worm:Win32/Conficker.B en el lanzamiento de enero de 2009 de la Herramienta de eliminación de software malintencionado de Microsoft y comunicó información acerca de esto a través de su blog.
  • El 22 de enero de 2009, el MMPC proporcionó información técnica consolidada acerca de Worm:Win32/Conficker.B en su blog.
  • El 12 de febrero de 2009, el Microsoft Security Response Center (MSRC) publicó información acerca de dominios a los cuales se intentan conectar sistemas infectados por Conficker. Microsoft también anunció información acerca de una asociación con líderes académicos y del sector tecnológico diseñada para deshabilitar dominios amenazados por Conficker.
  • El 12 de febrero de 2009, Microsoft anunció una recompensa de USD $250.000 por información que conduzca al arresto y a la condena de quienes resulten responsables por lanzar ilegalmente el código malintencionado Conficker en Internet. La oferta de recompensa por parte de Microsoft nace del reconocimiento de que el gusano Conficker es un ataque criminal. Microsoft desea ayudar a las autoridades a atrapar a los criminales responsables de esto. Los residentes de cualquier país pueden reclamar la recompensa, de acuerdo con las leyes de su país, ya que los virus de Internet afectan a toda la comunidad a nivel mundial.
  • El 20 de febrero de 2009, el MMPC proporcionó información técnica acerca de Worm:Win32/Conficker.C en su blog.
  • El 27 de marzo de 2009, el MMPC proporcionó más detalles acerca de la funcionalidad P2P nueva en Worm:Win32/Conficker.D en su blog.

    Se anima a que las personas que posean información acerca del gusano Conficker se pongan en contacto con sus autoridades internacionales. Adicionalmente, Microsoft ha implementado una Línea directa de recompensa de antivirus , +1-425-706-1111, y un Buzón de recompensa de antivirus, avreward@microsoft.com, donde se pueden compartir consejos.