Id. de artculo: 962007 - ltima revisin: lunes, 07 de septiembre de 2009 - Versin: 7.

Alerta de virus acerca del gusano Win32/Conficker

Resumen

La informacin de este artculo de Knowledge Base est dirigida a entornos empresariales con administradores de sistemas que pueden implementar los detalles de este artculo. No hay ningn motivo para usar este artculo si el programa antivirus est limpiando correctamente el virus y sus sistemas estn totalmente actualizados. Para confirmar que el sistema est limpio del virus Conficker, realice un anlisis rpido en la siguiente pgina web: http://onecare.live.com/site/es-es/default.htm (http://onecare.live.com/site/es-es/default.htm) Para obtener informacin detallada acerca del virus Conficker, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
(http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)

Sntomas de la infeccin

Si su equipo est infectado con este gusano, es posible que no experimente sntoma alguno o bien, puede presentarse cualquiera de los siguientes: Se han desactivado las directivas de bloqueo de cuenta. Se han deshabilitado las actualizaciones automticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender. Los controladores de dominio responden con lentitud a las solicitudes del cliente. La red est saturada. No se puede obtener acceso a diversos sitios Web relacionados con la seguridad. No se ejecutarn algunas herramientas relacionadas con la seguridad. Para obtener una lista de herramientas conocidas, visite la siguiente pgina web de Microsoft y, a continuacin, haga clic en la ficha Analysis para obtener informacin sobre Win32/Conficker.D. Para obtener ms informacin, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)

Para obtener ms informacin acerca del gusano Win32/Conficker, visite la siguiente pgina web de Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft): http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Mtodos de propagacin

Win32/Conficker presenta varios mtodos de propagacin. Entre los que se incluyen: La explotacin de la vulnerabilidad revisada por la actualizacin de seguridad 958644 (MS08-067) El uso de recursos compartidos de red El uso de la funcin Reproduccin automtica Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado. Nota La variante Win32/Conficker.D no se propaga a unidades extrables ni a carpetas compartidas en una red. Win32/Conficker.D se instala por variantes anteriores de Win32/Conficker.
Prevencin

Utilice contraseas seguras del administrador que sean nicas para todos los equipos. No inicie sesin en equipos utilizando credenciales de administrador de dominio ni credenciales que tengan acceso a todos los equipos. Asegrese de que se ha aplicado a todos los sistemas las ltimas actualizaciones de seguridad. Deshabilite las funciones de Reproduccin automtica. Para obtener ms informacin, consulte el paso 3 de la seccin "Crear un objeto de directivas de grupo".

 Quite derechos excesivos a recursos compartidos. Esto incluye quitar permisos de escritura al directorio raz de cualquier recurso compartido.
Pasos de mitigacin

Detener la propagacin de Win32/Conficker mediante la configuracin de directivas de grupo

Notas Importante Asegrese de que documenta la configuracin actual antes de realizar los cambios sugeridos en este artculo. Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, slo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. Tambin puede seguir los pasos que se indican en la seccin "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artculo de Knowledge Base para quitar el malware del sistema de forma manual. Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualizacin mientras los cambios de permisos recomendados en los pasos siguientes estn activados. Esto incluye, pero no est limitado, a la aplicacin de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (SCCM), ya que estos productos dependen de los componentes de Actualizaciones automticas. Asegrese de que cambia los permisos a su configuracin predeterminada despus de limpiar el sistema. Para obtener informacin sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la seccin "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artculo.

Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, segn sea necesario en su entorno. Para ello, siga estos pasos: 1. Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs. Para ello, siga estos pasos: Abra la Consola de administracin de directivas de grupo (GPMC). Cree un nuevo GPO. Asgnele el nombre que desee. Abra el nuevo GPO y, a continuacin, desplcese a la carpeta siguiente: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Registro Haga clic con el botn secundario en Registro y, despus, haga clic en Agregar clave. En el cuadro de dilogo Seleccionar clave de registro, ample el Equipo y desplcese hasta la siguiente carpeta: Software\Microsoft\Windows NT\CurrentVersion\Svchost Haga clic en Aceptar. En el cuadro de dilogo que aparece, haga clic en la casilla de verificacin Control total para desactivarla tanto para los Administradores como para el Sistema. Haga clic en Aceptar. En el cuadro de dilogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables. Haga clic en Aceptar. 2. Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema. Para ello, siga estos pasos: En el mismo GPO que ha creado anteriormente, desplcese hasta la siguiente carpeta: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Sistema de archivos Haga clic con el botn secundario en Sistema de archivos y, a continuacin, en Agregar archivo. En el cuadro de dilogo Agregar un archivo o carpeta, desplcese hasta la carpeta %windir%\Tareas. Asegrese de que Tareas est resaltada y que aparece en el cuadro de dilogo Carpeta. Haga clic en Aceptar.

 En el cuadro de dilogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema. Haga clic en Aceptar. En el cuadro de dilogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables. Haga clic en Aceptar. 3. Deshabilite las funciones de Reproduccin automtica (Ejecucin automtica). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproduccin automticas de Windows. Nota Para poder deshabilitar correctamente la funcionalidad de la ejecucin automtica, debe tener instaladas las actualizaciones pertinentes para ello, que variarn en funcin de la versin de Windows que disponga. Para deshabilitar la funcionalidad en cuestin en Windows Vista o en Windows Server 2008, debe tener instalada la actualizacin de seguridad 950582 (http://support.microsoft.com/kb/950582) (descrita en el boletn de seguridad MS08-038). Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualizacin de seguridad 950582 (http://support.microsoft.com/kb/950582) , o las actualizaciones 967715
(http://support.microsoft.com/kb/967715) o 953252 (http://support.microsoft.com/kb/953252) .

Para deshabilitar las funciones de Reproduccin automtica (Ejecucin automtica), siga estos pasos: En el mismo GPO que ha creado anteriormente, desplcese a las siguientes carpetas: Para un dominio de Windows Server 2003 domain, desplcese a la siguiente carpeta: Configuracin del equipo\Plantillas administrativas\Sistma Para un dominio de Windows 2008, desplcese a la siguiente carpeta: Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Polticas de reproduccin automtica Abra la directiva Desactivar reproduccin automtica. En el cuadro de dilogo Desactivar reproduccin automtica, haga clic en Habilitada. Haga clic en Todas las unidades en el men desplegable. Haga clic en Aceptar. 4. Cierre la Consola de administracin de directivas de grupo. 5. Vincule el GPO creado recientemente con la ubicacin en la que desee que se aplique. 6. Deje pasar el tiempo suficiente para que la configuracin de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicacin de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas ser suficiente. Sin embargo, es posible que se necesite ms tiempo en funcin del entorno. 7. Despus de que se haya propagado la configuracin de directivas de grupo, limpie el malware del sistema. Para ello, siga estos pasos: Ejecute anlisis de antivirus completos en todo el equipo. En caso de que el software antivirus no detecte Conficker, puede usar la Herramienta de eliminacin de software malintencionado (MSRT) para eliminar dicho malware. Para obtener ms informacin al respecto, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx
(http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx)

Note Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la seccin "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artculo para que desaparezcan por completo los efectos del malware.
Recuperacin

Ejecute la herramienta Malicious Software Removal (MSRT).

Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft) ha actualizado esta herramienta. Se trata de un binario independiente que puede resultar de utilidad para la eliminacin de software malintencionado extendido, adems de ayudar a eliminar la familia de malware Win32/Conficker.

Nota La herramienta MSRT no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real. Puede descargar la herramienta MSRT de los siguientes sitios Web de Microsoft: http://www.update.microsoft.com (http://www.update.microsoft.com) http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)

Para obtener informacin detallada sobre implementaciones especficas para MSRT, haga clic en el nmero de artculo siguiente para consultarlo en Microsoft Knowledge Base: 891716 (http://support.microsoft.com/kb/891716/ ) Implantacin de la Herramienta de eliminacin de software malintencionado de Microsoft Windows en un entorno empresarial Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) tambin eliminar esta infeccin. Esta herramienta est disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a travs de los Servicios de soporte tcnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente: http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
(http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)

Si Windows Live OneCare o Microsoft Forefront Client Security se estn ejecutando en el sistema, estos programas bloquearn tambin la amenaza antes de que se instale.

Pasos para eliminar el virus Win32/Conficker de forma manual

Notas Estos pasos manuales ya no se requieren y slo deberan utilizarse si no dispone de ningn software antivirus para quitar el virus Conficker. Dependiendo de la variante de Win32/Conficker con la que est infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta seccin. Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema: 1. Inicie sesin en el sistema con una cuenta local. Importante Si es posible, no inicie sesin en el sistema con una cuenta de dominio. Especialmente, no inicie sesin con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesin y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague. 2. Detenga el servicio del servidor, lo que permitir eliminar del sistema los recursos compartidos del administrador e impedir que el malware se propague mediante este mtodo. Nota El servicio del servidor slo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta an ms evidente en los servidores de produccin, ya que este paso afectar a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor. Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos: En funcin del sistema que utilice, realice lo siguiente: En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar bsqueda y, a continuacin, haga clic en services.msc en la lista Programas. En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, despus en Ejecutar, escriba services.msc y, a continuacin, haga clic en Aceptar. Haga doble clic en Servidor. Haga clic en Detener. Seleccione Deshabilitado en el cuadro Tipo de inicio. Haga clic en Aplicar. 3. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el smbolo del sistema. 4. Detenga el servicio Programador de tareas. Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe. Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.

Importante: esta seccin, mtodo o tarea contiene pasos que le indican cmo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegrese de que sigue estos pasos cuidadosamente. Para obtener ms proteccin, haga una copia de seguridad del Registro antes de modificarlo. Despus, puede restaurar el Registro si se produce algn problema. Para obtener ms informacin acerca de cmo realizar una copia de seguridad y restaurar el Registro, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 322756 (http://support.microsoft.com/kb/322756/ ) Cmo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003 Haga clic en Inicio, escriba regedit en el cuadro Iniciar bsqueda y haga clic en regedit.exe en la lista Programas. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule En el panel de detalles, haga clic con el botn secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuacin, haga clic en Modificar. En el cuadro Informacin del valor, escriba 4 y haga clic en Aceptar. Cierre el Editor del Registro y reinicie el equipo. Nota El servicio Programador de tareas slo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectar a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor. 5. Descargue e instale manualmente la actualizacin de seguridad 958644 (MS08-067). Para obtener ms informacin al respecto, visite el siguiente sitio Web de Microsoft: http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx
(http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx)

Nota Es posible que este sitio est bloqueado debido a una infeccin de malware. En ese caso, debe descargar la actualizacin desde un equipo que no est infectado y transferir a continuacin el archivo de actualizacin al sistema infectado. Se recomienda que grabe la actualizacin en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la nica forma de copiar la actualizacin en el sistema infectado sea mediante una unidad de memoria USB extrable. Si utiliza una unidad extrable, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualizacin en una unidad extrable, asegrese de establecer la unidad en modo de slo lectura, siempre que esta opcin est disponible para el dispositivo. Si este modo est disponible, normalmente se habilita mediante un modificador fsico que se encuentra en el dispositivo. A continuacin, una vez copiado el archivo de actualizacin en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extrable. Si es as, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extrable est conectada al equipo. 6. Restablezca cualquier contrasea de administrador de dominio y de administrador local para usar una nueva contrasea segura. Para obtener ms informacin al respecto, visite el siguiente sitio Web de Microsoft: http://technet.microsoft.com/es-es/library/cc875814.aspx (http://technet.microsoft.com/es-es/library/cc875814.aspx) 7. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 8. En el panel de detalles, haga clic con el botn secundario del mouse en la entrada netsvcs y, a continuacin, haga clic en Modificar. 9. Si el equipo est infectado con el virus Win32/Conficker, se mostrar un nombre de servicio aleatorio. Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes ms recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legtimo. Si el nombre de servicio aleatorio no est en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no est infectado. Anote el nombre del servicio de malware. Necesitar esta informacin ms adelante durante este proceso. 10. Elimine la lnea que contiene la referencia al servicio de malware. Asegrese de dejar un avance de lnea en blanco debajo de la ltima entrada vlida que aparece en la lista y, a continuacin, haga clic en Aceptar. Notas sobre la tabla Servicios Todas las entradas de la tabla Servicios son entradas vlidas, excepto para los elementos que estn resaltados en negrita.

 Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST. Es posible que no sea una lista completa de servicios, dependiendo de lo que est instalado en el sistema. La tabla Servicios procede de una instalacin predeterminada de Windows. La entrada que agrega el virus Win32/Conficker a la lista es una tcnica de confusin. En la entrada malintencionada resaltada la primera letra parece ser una "L" minscula. Sin embargo, en realidad es una "I" mayscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayscula se parece a una "l" minscula.

Tabla Servicios
Windows Server 2008 AeLookupSvc wercplsupport Themes CertPropSvc SCPolicySvc lanmanserver gpsvc IKEEXT AudioSrv Windows Vista AeLookupSvc wercplsupport Themes CertPropSvc SCPolicySvc lanmanserver gpsvc IKEEXT AudioSrv Windows Server 2003 AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip A A

FastUserSwitchingCompatibility FastUserSwitchingCompatibility Irmon Ias Irmon Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Iaslogon Remoteaccess SENS Sharedaccess SRService Tapisrv Wmi WmdmPmSp TermService wuauserv BITS ShellHWDetection LogonHours PCAudit helpsvc Ias Irmon Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Iaslogon Remoteaccess SENS Sharedaccess SRService Tapisrv Wmi WmdmPmSp TermService wuauserv BITS ShellHWDetection LogonHours PCAudit helpsvc LanmanServer LanmanWorkstation I Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Iaslogon Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi T T I I I

uploadmgr iphlpsvc seclogon AppInfo msiscsi MMCSS browser winmgmt SessionEnv ProfSvc EapHost hkmsvc schedule AppMgmt sacsvr

uploadmgr iphlpsvc seclogon AppInfo msiscsi MMCSS ProfSvc EapHost winmgmt schedule SessionEnv browser hkmsvc AppMgmt

WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc

T W W W W w T w

x w W

11. En un procedimiento anterior, haba anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta informacin, siga estos pasos: En el Editor del Registro, busque la siguiente subclave del Registro y seleccinela, donde BadServiceName es el nombre del servicio de malware: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon Haga clic con el botn secundario del mouse en la subclave que aparece en el panel de exploracin del nombre del servicio de malware y, a continuacin, haga clic en Permisos. En el cuadro de dilogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas. En el cuadro de dilogo Configuracin de seguridad avanzada, haga clic para activar las siguientes casillas de verificacin: Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Inclui rlas junto con las entradas indicadas aqu de forma explcita. . Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluid as aqu y que sean relativas a los objetos secundarios. 12. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podr ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos: Haga doble clic en la entrada "ServiceDll". Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitar esta informacin ms adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestin puede parecerse a la siguiente: %SystemRoot%\System32\doieuln.dll

Cambie el nombre de la referencia para que sea similar a: %SystemRoot%\System32\doieuln.old

Haga clic en Aceptar. 13. Elimine la entrada del servicio de malware de la subclave Run del Registro. En el Editor del Registro, busque las siguientes subclaves del Registro y seleccinelas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada. Cierre el Editor del Registro y reinicie el equipo. 14. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuacin, compruebe que se trata de un archivo Autorun.inf vlido. A continuacin, se muestra un ejemplo de un archivo Autorun.inf vlido normal: [autorun] shellexecute=Servers\splash.hta*DVD* icon=Servers\autorun.ico

Un archivo Autorun.inf vlido suele tener un tamao de 1 a 2 kilobytes (KB). 15. Elimine cualquier archivo Autorun.inf que no parezca vlido. 16. Reinicie el equipo. 17. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\S HOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f 18. Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos: En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente: %systemroot%\System32\doieuln.dll En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware. Haga clic en Herramientas y, a continuacin, en Opciones de carpeta. Haga clic en la ficha Ver. Active la casilla de verificacin Mostrar todos los archivos y carpetas ocultos. Haga clic en Aceptar. 19. Seleccione el archivo .dll. 20. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos: Haga clic con el botn secundario del mouse en el archivo .dll y, a continuacin, haga clic en Propiedades. Haga clic en la ficha Seguridad. Haga clic en Todos y, a continuacin, active la casilla de verificacin Control total en la columna Permitir. Haga clic en Aceptar. 21. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32 \doieuln.dll. 22. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC). 23. Desactive la ejecucin automtica para ayudar a reducir los efectos de una nueva infeccin. Para ello, siga estos pasos: En funcin del sistema que utilice, instale una de las siguientes actualizaciones: Si est ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualizacin 967715. Para obtener ms informacin, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 967715 (http://support.microsoft.com/kb/967715/ ) Cmo deshabilitar la funcionalidad de la ejecucin automtica en Windows Si est ejecutando Windows Vista o Windows Server 2008, instale la actualizacin 950582. Para obtener ms informacin, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Una vulnerabilidad en el Explorador de Windows podra permitir la ejecucin remota de cdigo Nota La actualizacin 967715 y la actualizacin de seguridad 950582 no estn relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la funcin del Registro en el paso 23b. Escriba el siguiente comando en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTyp eAutoRun/t REG_DWORD/d 0xff/f

24. Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicacin de inicio automtico de esta aplicacin. Para ello, escriba el siguiente comando en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EX PAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe hide"/f 25. En Windows Vista y sistemas operativos posteriores, el malware cambia la configuracin global del nivel de ajuste automtico de ventana de recepcin de TCP a deshabilitado. Para restablecer esta configuracin, escriba el siguiente comando en el smbolo del sistema: netsh interface tcp set global autotuning=normal Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones: No se ha eliminado una de las ubicaciones de inicio automtico. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf. La actualizacin de seguridad de MS08-067 no se ha instalado correctamente. Este malware puede cambiar otros valores de configuracin que no se describen en este artculo. Visite la siguiente pgina web de Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft) para obtener la informacin ms reciente acerca del gusano Win32/Conficker: http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Compruebe que el sistema est desinfectado.

Compruebe que se han iniciado los siguientes servicios: Actualizaciones automticas (wuauserv) Servicio de transferencia inteligente en segundo plano (BITS) Windows Defender (windefend, si procede) Servicio de informe de errores de Windows Para ello, escriba los siguientes comandos en el smbolo del sistema. Presione ENTRAR despus de cada comando: Sc.exe query wuauserv Sc.exe query bits Sc.exe query windefend Sc.exe query ersvc Una vez ejecutados todos los comandos, aparecer un mensaje similar al siguiente: NOMBRE_DE_SERVICIO: wuauserv TIPO : 20 WIN32_SHARE_PROCESS ESTADO : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN) CDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0) CDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0) PUNTO_DE_CONTROL : 0x0 ESPERA : 0x0 En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se est ejecutando. Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos: 1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 2. En el panel de detalles, haga doble clic en netsvcs y, a continuacin, revise los nombres de servicio que aparecen en la lista. Desplcese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrar un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon". Si estos pasos no resuelven el problema, pngase en contacto con el proveedor del software antivirus. Para obtener informacin adicional acerca de este problema, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 49500 (http://support.microsoft.com/kb/49500/ ) Lista de proveedores de software antivirus

Si no hay ningn proveedor de software antivirus disponible o ste no puede ayudarle, pngase en contacto con los Servicios de soporte tcnico y de asistencia al cliente de Microsoft.

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, siga estos pasos: 1. Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas. 2. Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la carpeta Tareas. Debera cambiarse a la configuracin predeterminada usando la configuracin de directivas de grupo. Si slo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener ms informacin, consulte la tabla de permisos predeterminados en la seccin "Pasos de mitigacin". 3. Actualice el equipo mediante la instalacin de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un producto de administracin de actualizaciones de terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o SCCM no podr actualizar el sistema.
Identificacin de sistemas infectados

Si tiene problemas para identificar los sistemas que estn infectados con Conficker, puede ayudar la informacin proporcionada en el siguiente blog de TechNet: http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx
(http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)

Tabla de permisos predeterminada

En la tabla siguiente se muestran los permisos predeterminados para cada sistema operativo. Estos permisos estn activos antes de aplicar los cambios que recomendamos en este artculo. Estos permisos pueden diferir de los permisos establecidos en su entorno. Por tanto, debe anotar la configuracin antes de realizar cualquier cambio. Debe hacerlo para poder restaurar la configuracin una vez limpio el sistema. Sistema operativo Configuracin Windows Server 2008 Registro Svchost Cuenta Administradores Control (Grupo local) Sistema total Control total Usuarios avanzados (Grupo local) Usuarios (Grupo Especial local) Se aplica a: Esta clave y subclaves Consultar un valor Enumerar las subclaves no aplicable Se aplica a: Esta clave y subclaves Consultar un valor Enumerar las subclaves Especial no aplicable Lectura no aplicable Lect no aplicable Control total Control total no aplicable Control total Control total no aplicable Control total Control total no aplicable Control total Control total Lectura Control total Control total no aplicable Con tota Con tota Lect Carpeta Tareas Windows Vista Registro Svchost Carpeta Tareas Windows Server 2003 Registro Svchost Carpeta Tareas Reg Svc Win

Notificar Leer un control Usuarios autenticados no aplicable Especial

Notificar Leer un control no aplicable Especial no aplicable no aplicable no apli

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos Operadores de copia de seguridad (Grupo local) no aplicable no aplicable no aplicable

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos no aplicable no aplicable Especial no apli

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos Todos no aplicable no aplicable no aplicable no aplicable no aplicable no aplicable no apli

La informacin de este artculo se refiere a:

Palabras clave: kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Id. de artculo: 962007 - ltima revisin: lunes, 07 de septiembre de 2009 - Versin: 7.1

Alerta de virus acerca del gusano Win32/Conficker

Resumen

La informacin de este artculo de Knowledge Base est dirigida a entornos empresariales con administradores de sistemas que pueden implementar los detalles de este artculo. No hay ningn motivo para usar este artculo si el programa antivirus est limpiando correctamente el virus y sus sistemas estn totalmente actualizados. Para confirmar que el sistema est limpio del virus Conficker, realice un anlisis rpido en la siguiente pgina web: http://onecare.live.com/site/es-es/default.htm (http://onecare.live.com/site/es-es/default.htm) Para obtener informacin detallada acerca del virus Conficker, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker
(http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)

Sntomas de la infeccin

Si su equipo est infectado con este gusano, es posible que no experimente sntoma alguno o bien, puede presentarse cualquiera de los siguientes: Se han desactivado las directivas de bloqueo de cuenta. Se han deshabilitado las actualizaciones automticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender. Los controladores de dominio responden con lentitud a las solicitudes del cliente. La red est saturada. No se puede obtener acceso a diversos sitios Web relacionados con la seguridad. No se ejecutarn algunas herramientas relacionadas con la seguridad. Para obtener una lista de herramientas conocidas, visite la siguiente pgina web de Microsoft y, a continuacin, haga clic en la ficha Analysis para obtener informacin sobre Win32/Conficker.D. Para obtener ms informacin, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)

Para obtener ms informacin acerca del gusano Win32/Conficker, visite la siguiente pgina web de Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft): http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Mtodos de propagacin

Win32/Conficker presenta varios mtodos de propagacin. Entre los que se incluyen: La explotacin de la vulnerabilidad revisada por la actualizacin de seguridad 958644 (MS08-067) El uso de recursos compartidos de red El uso de la funcin Reproduccin automtica Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado. Nota La variante Win32/Conficker.D no se propaga a unidades extrables ni a carpetas compartidas en una red. Win32/Conficker.D se instala por variantes anteriores de Win32/Conficker.
Prevencin

Utilice contraseas seguras del administrador que sean nicas para todos los equipos. No inicie sesin en equipos utilizando credenciales de administrador de dominio ni credenciales que tengan acceso a todos los equipos. Asegrese de que se ha aplicado a todos los sistemas las ltimas actualizaciones de seguridad. Deshabilite las funciones de Reproduccin automtica. Para obtener ms informacin, consulte el paso 3 de la seccin "Crear un objeto de directivas de grupo".

 Quite derechos excesivos a recursos compartidos. Esto incluye quitar permisos de escritura al directorio raz de cualquier recurso compartido.
Pasos de mitigacin

Detener la propagacin de Win32/Conficker mediante la configuracin de directivas de grupo

Notas Importante Asegrese de que documenta la configuracin actual antes de realizar los cambios sugeridos en este artculo. Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, slo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. Tambin puede seguir los pasos que se indican en la seccin "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artculo de Knowledge Base para quitar el malware del sistema de forma manual. Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualizacin mientras los cambios de permisos recomendados en los pasos siguientes estn activados. Esto incluye, pero no est limitado, a la aplicacin de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (SCCM), ya que estos productos dependen de los componentes de Actualizaciones automticas. Asegrese de que cambia los permisos a su configuracin predeterminada despus de limpiar el sistema. Para obtener informacin sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la seccin "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artculo.

Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, segn sea necesario en su entorno. Para ello, siga estos pasos: 1. Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs. Para ello, siga estos pasos: Abra la Consola de administracin de directivas de grupo (GPMC). Cree un nuevo GPO. Asgnele el nombre que desee. Abra el nuevo GPO y, a continuacin, desplcese a la carpeta siguiente: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Registro Haga clic con el botn secundario en Registro y, despus, haga clic en Agregar clave. En el cuadro de dilogo Seleccionar clave de registro, ample el Equipo y desplcese hasta la siguiente carpeta: Software\Microsoft\Windows NT\CurrentVersion\Svchost Haga clic en Aceptar. En el cuadro de dilogo que aparece, haga clic en la casilla de verificacin Control total para desactivarla tanto para los Administradores como para el Sistema. Haga clic en Aceptar. En el cuadro de dilogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables. Haga clic en Aceptar. 2. Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema. Para ello, siga estos pasos: En el mismo GPO que ha creado anteriormente, desplcese hasta la siguiente carpeta: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Sistema de archivos Haga clic con el botn secundario en Sistema de archivos y, a continuacin, en Agregar archivo. En el cuadro de dilogo Agregar un archivo o carpeta, desplcese hasta la carpeta %windir%\Tareas. Asegrese de que Tareas est resaltada y que aparece en el cuadro de dilogo Carpeta. Haga clic en Aceptar.

 En el cuadro de dilogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema. Haga clic en Aceptar. En el cuadro de dilogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables. Haga clic en Aceptar. 3. Deshabilite las funciones de Reproduccin automtica (Ejecucin automtica). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproduccin automticas de Windows. Nota Para poder deshabilitar correctamente la funcionalidad de la ejecucin automtica, debe tener instaladas las actualizaciones pertinentes para ello, que variarn en funcin de la versin de Windows que disponga. Para deshabilitar la funcionalidad en cuestin en Windows Vista o en Windows Server 2008, debe tener instalada la actualizacin de seguridad 950582 (http://support.microsoft.com/kb/950582) (descrita en el boletn de seguridad MS08-038). Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualizacin de seguridad 950582 (http://support.microsoft.com/kb/950582) , o las actualizaciones 967715
(http://support.microsoft.com/kb/967715) o 953252 (http://support.microsoft.com/kb/953252) .

Para deshabilitar las funciones de Reproduccin automtica (Ejecucin automtica), siga estos pasos: En el mismo GPO que ha creado anteriormente, desplcese a las siguientes carpetas: Para un dominio de Windows Server 2003 domain, desplcese a la siguiente carpeta: Configuracin del equipo\Plantillas administrativas\Sistma Para un dominio de Windows 2008, desplcese a la siguiente carpeta: Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Polticas de reproduccin automtica Abra la directiva Desactivar reproduccin automtica. En el cuadro de dilogo Desactivar reproduccin automtica, haga clic en Habilitada. Haga clic en Todas las unidades en el men desplegable. Haga clic en Aceptar. 4. Cierre la Consola de administracin de directivas de grupo. 5. Vincule el GPO creado recientemente con la ubicacin en la que desee que se aplique. 6. Deje pasar el tiempo suficiente para que la configuracin de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicacin de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas ser suficiente. Sin embargo, es posible que se necesite ms tiempo en funcin del entorno. 7. Despus de que se haya propagado la configuracin de directivas de grupo, limpie el malware del sistema. Para ello, siga estos pasos: Ejecute anlisis de antivirus completos en todo el equipo. En caso de que el software antivirus no detecte Conficker, puede usar la Herramienta de eliminacin de software malintencionado (MSRT) para eliminar dicho malware. Para obtener ms informacin al respecto, visite la siguiente pgina web de Microsoft: http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx
(http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx)

Note Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la seccin "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artculo para que desaparezcan por completo los efectos del malware.
Recuperacin

Ejecute la herramienta Malicious Software Removal (MSRT).

Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft) ha actualizado esta herramienta. Se trata de un binario independiente que puede resultar de utilidad para la eliminacin de software malintencionado extendido, adems de ayudar a eliminar la familia de malware Win32/Conficker.

Nota La herramienta MSRT no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real. Puede descargar la herramienta MSRT de los siguientes sitios Web de Microsoft: http://www.update.microsoft.com (http://www.update.microsoft.com) http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)

Para obtener informacin detallada sobre implementaciones especficas para MSRT, haga clic en el nmero de artculo siguiente para consultarlo en Microsoft Knowledge Base: 891716 (http://support.microsoft.com/kb/891716/ ) Implantacin de la Herramienta de eliminacin de software malintencionado de Microsoft Windows en un entorno empresarial Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) tambin eliminar esta infeccin. Esta herramienta est disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a travs de los Servicios de soporte tcnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente: http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx
(http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)

Si Windows Live OneCare o Microsoft Forefront Client Security se estn ejecutando en el sistema, estos programas bloquearn tambin la amenaza antes de que se instale.

Pasos para eliminar el virus Win32/Conficker de forma manual

Notas Estos pasos manuales ya no se requieren y slo deberan utilizarse si no dispone de ningn software antivirus para quitar el virus Conficker. Dependiendo de la variante de Win32/Conficker con la que est infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta seccin. Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema: 1. Inicie sesin en el sistema con una cuenta local. Importante Si es posible, no inicie sesin en el sistema con una cuenta de dominio. Especialmente, no inicie sesin con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesin y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague. 2. Detenga el servicio del servidor, lo que permitir eliminar del sistema los recursos compartidos del administrador e impedir que el malware se propague mediante este mtodo. Nota El servicio del servidor slo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta an ms evidente en los servidores de produccin, ya que este paso afectar a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor. Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos: En funcin del sistema que utilice, realice lo siguiente: En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar bsqueda y, a continuacin, haga clic en services.msc en la lista Programas. En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, despus en Ejecutar, escriba services.msc y, a continuacin, haga clic en Aceptar. Haga doble clic en Servidor. Haga clic en Detener. Seleccione Deshabilitado en el cuadro Tipo de inicio. Haga clic en Aplicar. 3. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el smbolo del sistema. 4. Detenga el servicio Programador de tareas. Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe. Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.

Importante: esta seccin, mtodo o tarea contiene pasos que le indican cmo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegrese de que sigue estos pasos cuidadosamente. Para obtener ms proteccin, haga una copia de seguridad del Registro antes de modificarlo. Despus, puede restaurar el Registro si se produce algn problema. Para obtener ms informacin acerca de cmo realizar una copia de seguridad y restaurar el Registro, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 322756 (http://support.microsoft.com/kb/322756/ ) Cmo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003 Haga clic en Inicio, escriba regedit en el cuadro Iniciar bsqueda y haga clic en regedit.exe en la lista Programas. Busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule En el panel de detalles, haga clic con el botn secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuacin, haga clic en Modificar. En el cuadro Informacin del valor, escriba 4 y haga clic en Aceptar. Cierre el Editor del Registro y reinicie el equipo. Nota El servicio Programador de tareas slo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectar a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor. 5. Descargue e instale manualmente la actualizacin de seguridad 958644 (MS08-067). Para obtener ms informacin al respecto, visite el siguiente sitio Web de Microsoft: http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx
(http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx)

Nota Es posible que este sitio est bloqueado debido a una infeccin de malware. En ese caso, debe descargar la actualizacin desde un equipo que no est infectado y transferir a continuacin el archivo de actualizacin al sistema infectado. Se recomienda que grabe la actualizacin en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la nica forma de copiar la actualizacin en el sistema infectado sea mediante una unidad de memoria USB extrable. Si utiliza una unidad extrable, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualizacin en una unidad extrable, asegrese de establecer la unidad en modo de slo lectura, siempre que esta opcin est disponible para el dispositivo. Si este modo est disponible, normalmente se habilita mediante un modificador fsico que se encuentra en el dispositivo. A continuacin, una vez copiado el archivo de actualizacin en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extrable. Si es as, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extrable est conectada al equipo. 6. Restablezca cualquier contrasea de administrador de dominio y de administrador local para usar una nueva contrasea segura. Para obtener ms informacin al respecto, visite el siguiente sitio Web de Microsoft: http://technet.microsoft.com/es-es/library/cc875814.aspx (http://technet.microsoft.com/es-es/library/cc875814.aspx) 7. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 8. En el panel de detalles, haga clic con el botn secundario del mouse en la entrada netsvcs y, a continuacin, haga clic en Modificar. 9. Si el equipo est infectado con el virus Win32/Conficker, se mostrar un nombre de servicio aleatorio. Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes ms recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legtimo. Si el nombre de servicio aleatorio no est en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no est infectado. Anote el nombre del servicio de malware. Necesitar esta informacin ms adelante durante este proceso. 10. Elimine la lnea que contiene la referencia al servicio de malware. Asegrese de dejar un avance de lnea en blanco debajo de la ltima entrada vlida que aparece en la lista y, a continuacin, haga clic en Aceptar. Notas sobre la tabla Servicios Todas las entradas de la tabla Servicios son entradas vlidas, excepto para los elementos que estn resaltados en negrita.

 Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST. Es posible que no sea una lista completa de servicios, dependiendo de lo que est instalado en el sistema. La tabla Servicios procede de una instalacin predeterminada de Windows. La entrada que agrega el virus Win32/Conficker a la lista es una tcnica de confusin. En la entrada malintencionada resaltada la primera letra parece ser una "L" minscula. Sin embargo, en realidad es una "I" mayscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayscula se parece a una "l" minscula.

Tabla Servicios
Windows Server 2008 AeLookupSvc wercplsupport Themes CertPropSvc SCPolicySvc lanmanserver gpsvc IKEEXT AudioSrv Windows Vista AeLookupSvc wercplsupport Themes CertPropSvc SCPolicySvc lanmanserver gpsvc IKEEXT AudioSrv Windows Server 2003 AppMgmt AudioSrv Browser CryptSvc DMServer EventSystem HidServ Ias Iprip A A

FastUserSwitchingCompatibility FastUserSwitchingCompatibility Irmon Ias Irmon Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Iaslogon Remoteaccess SENS Sharedaccess SRService Tapisrv Wmi WmdmPmSp TermService wuauserv BITS ShellHWDetection LogonHours PCAudit helpsvc Ias Irmon Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Iaslogon Remoteaccess SENS Sharedaccess SRService Tapisrv Wmi WmdmPmSp TermService wuauserv BITS ShellHWDetection LogonHours PCAudit helpsvc LanmanServer LanmanWorkstation I Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Iaslogon Rasauto Rasman Remoteaccess Sacsvr Schedule Seclogon SENS Sharedaccess Themes TrkWks TrkSvr W32Time WZCSVC Wmi T T I I I

uploadmgr iphlpsvc seclogon AppInfo msiscsi MMCSS browser winmgmt SessionEnv ProfSvc EapHost hkmsvc schedule AppMgmt sacsvr

uploadmgr iphlpsvc seclogon AppInfo msiscsi MMCSS ProfSvc EapHost winmgmt schedule SessionEnv browser hkmsvc AppMgmt

WmdmPmSp winmgmt wuauserv BITS ShellHWDetection uploadmgr WmdmPmSN xmlprov AeLookupSvc helpsvc

T W W W W w T w

x w W

11. En un procedimiento anterior, haba anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta informacin, siga estos pasos: En el Editor del Registro, busque la siguiente subclave del Registro y seleccinela, donde BadServiceName es el nombre del servicio de malware: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon Haga clic con el botn secundario del mouse en la subclave que aparece en el panel de exploracin del nombre del servicio de malware y, a continuacin, haga clic en Permisos. En el cuadro de dilogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas. En el cuadro de dilogo Configuracin de seguridad avanzada, haga clic para activar las siguientes casillas de verificacin: Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Inclui rlas junto con las entradas indicadas aqu de forma explcita. . Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluid as aqu y que sean relativas a los objetos secundarios. 12. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podr ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos: Haga doble clic en la entrada "ServiceDll". Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitar esta informacin ms adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestin puede parecerse a la siguiente: %SystemRoot%\System32\doieuln.dll

Cambie el nombre de la referencia para que sea similar a: %SystemRoot%\System32\doieuln.old

Haga clic en Aceptar. 13. Elimine la entrada del servicio de malware de la subclave Run del Registro. En el Editor del Registro, busque las siguientes subclaves del Registro y seleccinelas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada. Cierre el Editor del Registro y reinicie el equipo. 14. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuacin, compruebe que se trata de un archivo Autorun.inf vlido. A continuacin, se muestra un ejemplo de un archivo Autorun.inf vlido normal: [autorun] shellexecute=Servers\splash.hta*DVD* icon=Servers\autorun.ico

Un archivo Autorun.inf vlido suele tener un tamao de 1 a 2 kilobytes (KB). 15. Elimine cualquier archivo Autorun.inf que no parezca vlido. 16. Reinicie el equipo. 17. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\S HOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f 18. Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos: En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente: %systemroot%\System32\doieuln.dll En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware. Haga clic en Herramientas y, a continuacin, en Opciones de carpeta. Haga clic en la ficha Ver. Active la casilla de verificacin Mostrar todos los archivos y carpetas ocultos. Haga clic en Aceptar. 19. Seleccione el archivo .dll. 20. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos: Haga clic con el botn secundario del mouse en el archivo .dll y, a continuacin, haga clic en Propiedades. Haga clic en la ficha Seguridad. Haga clic en Todos y, a continuacin, active la casilla de verificacin Control total en la columna Permitir. Haga clic en Aceptar. 21. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32 \doieuln.dll. 22. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC). 23. Desactive la ejecucin automtica para ayudar a reducir los efectos de una nueva infeccin. Para ello, siga estos pasos: En funcin del sistema que utilice, instale una de las siguientes actualizaciones: Si est ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualizacin 967715. Para obtener ms informacin, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 967715 (http://support.microsoft.com/kb/967715/ ) Cmo deshabilitar la funcionalidad de la ejecucin automtica en Windows Si est ejecutando Windows Vista o Windows Server 2008, instale la actualizacin 950582. Para obtener ms informacin, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Una vulnerabilidad en el Explorador de Windows podra permitir la ejecucin remota de cdigo Nota La actualizacin 967715 y la actualizacin de seguridad 950582 no estn relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la funcin del Registro en el paso 23b. Escriba el siguiente comando en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTyp eAutoRun/t REG_DWORD/d 0xff/f

24. Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicacin de inicio automtico de esta aplicacin. Para ello, escriba el siguiente comando en el smbolo del sistema: reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EX PAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe hide"/f 25. En Windows Vista y sistemas operativos posteriores, el malware cambia la configuracin global del nivel de ajuste automtico de ventana de recepcin de TCP a deshabilitado. Para restablecer esta configuracin, escriba el siguiente comando en el smbolo del sistema: netsh interface tcp set global autotuning=normal Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones: No se ha eliminado una de las ubicaciones de inicio automtico. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf. La actualizacin de seguridad de MS08-067 no se ha instalado correctamente. Este malware puede cambiar otros valores de configuracin que no se describen en este artculo. Visite la siguiente pgina web de Microsoft Malware Protection Center (Centro de proteccin contra malware de Microsoft) para obtener la informacin ms reciente acerca del gusano Win32/Conficker: http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker
(http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Compruebe que el sistema est desinfectado.

Compruebe que se han iniciado los siguientes servicios: Actualizaciones automticas (wuauserv) Servicio de transferencia inteligente en segundo plano (BITS) Windows Defender (windefend, si procede) Servicio de informe de errores de Windows Para ello, escriba los siguientes comandos en el smbolo del sistema. Presione ENTRAR despus de cada comando: Sc.exe query wuauserv Sc.exe query bits Sc.exe query windefend Sc.exe query ersvc Una vez ejecutados todos los comandos, aparecer un mensaje similar al siguiente: NOMBRE_DE_SERVICIO: wuauserv TIPO : 20 WIN32_SHARE_PROCESS ESTADO : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN) CDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0) CDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0) PUNTO_DE_CONTROL : 0x0 ESPERA : 0x0 En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se est ejecutando. Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos: 1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 2. En el panel de detalles, haga doble clic en netsvcs y, a continuacin, revise los nombres de servicio que aparecen en la lista. Desplcese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrar un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon". Si estos pasos no resuelven el problema, pngase en contacto con el proveedor del software antivirus. Para obtener informacin adicional acerca de este problema, haga clic en el nmero de artculo siguiente para verlo en Microsoft Knowledge Base: 49500 (http://support.microsoft.com/kb/49500/ ) Lista de proveedores de software antivirus

Si no hay ningn proveedor de software antivirus disponible o ste no puede ayudarle, pngase en contacto con los Servicios de soporte tcnico y de asistencia al cliente de Microsoft.

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, siga estos pasos: 1. Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas. 2. Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la carpeta Tareas. Debera cambiarse a la configuracin predeterminada usando la configuracin de directivas de grupo. Si slo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener ms informacin, consulte la tabla de permisos predeterminados en la seccin "Pasos de mitigacin". 3. Actualice el equipo mediante la instalacin de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un producto de administracin de actualizaciones de terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o SCCM no podr actualizar el sistema.
Identificacin de sistemas infectados

Si tiene problemas para identificar los sistemas que estn infectados con Conficker, puede ayudar la informacin proporcionada en el siguiente blog de TechNet: http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx
(http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)

Tabla de permisos predeterminada

En la tabla siguiente se muestran los permisos predeterminados para cada sistema operativo. Estos permisos estn activos antes de aplicar los cambios que recomendamos en este artculo. Estos permisos pueden diferir de los permisos establecidos en su entorno. Por tanto, debe anotar la configuracin antes de realizar cualquier cambio. Debe hacerlo para poder restaurar la configuracin una vez limpio el sistema. Sistema operativo Configuracin Windows Server 2008 Registro Svchost Cuenta Administradores Control (Grupo local) Sistema total Control total Usuarios avanzados (Grupo local) Usuarios (Grupo Especial local) Se aplica a: Esta clave y subclaves Consultar un valor Enumerar las subclaves no aplicable Se aplica a: Esta clave y subclaves Consultar un valor Enumerar las subclaves Especial no aplicable Lectura no aplicable Lect no aplicable Control total Control total no aplicable Control total Control total no aplicable Control total Control total no aplicable Control total Control total Lectura Control total Control total no aplicable Con tota Con tota Lect Carpeta Tareas Windows Vista Registro Svchost Carpeta Tareas Windows Server 2003 Registro Svchost Carpeta Tareas Reg Svc Win

Notificar Leer un control Usuarios autenticados no aplicable Especial

Notificar Leer un control no aplicable Especial no aplicable no aplicable no apli

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos Operadores de copia de seguridad (Grupo local) no aplicable no aplicable no aplicable

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos no aplicable no aplicable Especial no apli

Se aplica a: Esta carpeta slo Recorrer carpeta Mostrar carpeta Leer atributos Leer atributos extendidos Crear archivos Leer permisos Todos no aplicable no aplicable no aplicable no aplicable no aplicable no aplicable no apli

La informacin de este artculo se refiere a:

Palabras clave: kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007