Español | English
rss facebook linkedin Twitter

Conficker, en pleno apogeo

Ya hicimos referencia en Noviembre en este mismo blog a una vulnerabilidad en Microsoft Windows explotada por un gusano que se extendía con rapidez. En aquella ocasión, la recomendación pasaba por una rápida actualización de los sistemas con el parche de criticidad alta proporcionado por Microsoft.

También se distribuyó un informe especial de inteligencia a tal efecto entre nuestros clientes, en los que se analizaban las primeras muestras, su efecto en las máquinas infectadas y recomendaciones para la desinfección.

No obstante, a día de hoy, Conficker sigue su distribución con gran rapidez. Seguimos encontrando casos en los que redes internas quedan prácticamente inutilizables debido a la presencia de este gusano, ya que es muy "ruidoso", de modo que en esta entrada se dan algunas recomendaciones para la mitigación del problema:

- Conficker infecta un equipo a partir de la vulnerabilidad parcheada por MS08-067, por lo que la primera recomendación sigue siendo mantener los sistemas debidamente actualizados.

- Una vez un equipo resulta infectado, el gusano intenta la descarga de un falso AntiVirus. A día de hoy no se tiene noticia de que intente ningún otro tipo de instalación de malware, pero hay que ser prudentes porque es muy probable que en breve esto cambie y Conficker instale algo más peligroso.

- Sin embargo, el efecto más nocivo de la infección se nota en la red interna. Inunda con miles de peticiones los Controladores de Dominio intentando ataques de fuerza bruta para lograr credenciales con las que seguir su infección. De este modo, es vital monitorizar la red y hacer sonar las alarmas en caso de actividad inusualmente alta del puerto 445 y 88, así como controlar los logs de intentos de conexión fallidos con el Controlador de Dominio.

- Una vez identificadas las máquinas infectadas, proceder a su aislamiento para evitar en lo posible la infección del resto de equipos. Posteriormente, proceder a la limpieza de las mismas.

- Para la limpieza, existen soluciones gratuitas proporcionadas por varios fabricantes de AntiVirus, aunque por desgracia no siempre son eficaces debido a la gran cantidad de variaciones del troyano. Se recomienda el uso de la herramienta proporcionada por Microsoft.

En algunos casos tampoco ha sido útil esta herramienta, por lo que desde el departamento de eCrime hemos desarrollado una metodología manual para aplicar a nuestros clientes que, de momento, ha sido exitosa.

- Finalmente, recordar que Conficker también se transmite mediante dispositivos USB, por lo que se debe ser cuidadoso en este aspecto.

Como reflexión final, comentar que no siempre es sencillo mantener los sistemas actualizados, pero debería hacerse el esfuerzo, especialmente con parches críticos. El precio a pagar en caso de resultar infectados resulta ser, en muchas ocasiones, bastante más alto que el de mantener los sistemas al día.

Vicente Díaz
S21sec e-crime


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login