Virus/Antivirus - Eliminar Conficker - w32.Downadup - Downloader

 
Vista:

Eliminar Conficker - w32.Downadup - Downloader

Publicado por Nestor (10 intervenciones) el 09/03/2009 23:06:44
Hola a todos..

Tengo un problemita en el server de la empresa ( HP Proliant ML350) con los virus mencionados en el titulo, no los he podido eliminar del servidor, he intentado con la mayoria de herrameintas que encontre en internet (symante, avast!, Kaspersky....), antivirus actualizado pero no los detectan o no los eliminan..

Por favor ayuda, que no sea formatear... Gracias
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Cornelio (5 intervenciones) el 11/03/2009 23:33:58
W32/Downadup
Downadup es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.

Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.

* http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
* http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded

Una vez ingresado al sistema se copia a la siguiente ruta:

%System%[nombre_aleatorio].dll

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices etsvcsParameters]
"ServiceDll" = "[Ruta_al_gusano]"

System% es la variable C:WindowsSystem para Windows 95/98/Me, C:WinntSystem32 para Windows NT/2000 y C:WindowsSystem32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:

Nombre: netsvcs
Ruta de imagen: %SystemRoot%system32svchost.exe -k netsvcs

Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:

http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:

http://trafficconverter.biz/4vir/antispyware/[Removido]

El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envia esa dirección a sistemas remotos.

Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.

Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.

El gusano intenta descargar un archivo de datos desde el siguiente URL:

http://www.maxmind.com/download/geoip/database/Geo[Censurado]

Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:

* http://www.w3.org
* http://www.ask.com
* http://www.msn.com
* http://www.yahoo.com
* http://www.google.com
* http://www.baidu.com

La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.

Para mayor información y descarga del parche correspondiente visite:

* Microsoft Security Bulletin MS08-067

PER ANTIVIRUS® versión X7 con registro de virus al 24 de Noviembre del 2008 detecta y elimina este gusano.

Te puedo pasar algun antivirus si gustas o tratamos de aliminarlo solo contactame
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Cornelio (5 intervenciones) el 11/03/2009 23:38:28
Traduce esta pagina y vez la solucion
ponla en tu navegador

http://translate.google.com/translate?prev=_t&hl=es&ie=UTF-8&u=http%3A%2F%2Fwww.symantec.com%2Fsecurity_response%2Fwriteup.jsp%3Fdocid%3D2009-011316-0247-99&sl=en&tl=es&history_state0=
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Nestor (10 intervenciones) el 12/03/2009 15:28:06
Ya intente eliminarlo del server con esa herramienta y otras pero no he podido eliminarla... por favor ayuda...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 14/03/2009 08:16:04
Hola Nestor.
Como ya has usado las herramientas que ofrecen las distintas empresas de antivirus, cabe preguntar si has utilizado las propias de Microsoft, esto es, el parche [1] que resuelve la vulnerabilidad (kb958644) explotada por el virus y la herramienta de eliminación de software malintencionado [2] (kb890830), que desde enero del 2009 detecta y elimina justamente ese gusano.

Referencias:
[1] http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
[2] http://go.microsoft.com/fwlink/?LinkId=40458

(*) Enlaces válidos al momento de publicar este mensaje.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por nestor (10 intervenciones) el 16/03/2009 23:15:55
Gracias por la ayuda, probare estas herramientas y les cuento luego, para recordar que el equipo infectado es el servidor HP proliant ml350 con win server 2003, esas mismas herramientas sirven?
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 17/03/2009 03:58:30
Hola Nestor.
Respondiendo a tus preguntas, la dirección del parche (kb958644) es para que justamente escojas el sistema operativo e idioma usado en el servidor (aspecto que mencionaste sólo en tu último mensaje).
Con respecto a la herramienta de eliminación de software malintencionado, es compatible con Windows 2003.
Como dato extra, Symantec desarrolló una vacuna para este virus [1] llamada FixDownadup y que usé con éxito en Windows 2000 y 2003.

Resumiendo, el procedimiento a seguir es ejecutar la herramienta de desinfección (FixDownadup o la de Microsoft), luego aplicar el parche de seguridad específico y reiniciar el servidor.

Referencias:
[1] http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixDownadup.exe

(*) Enlaces válidos al momento de publicar este mensaje.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Nestor (10 intervenciones) el 17/03/2009 22:59:00
Gracias por las herramientas... la herramienta de eliminacion de microsoft funciono perfecto encontro 67 , y el FixDownadup.exe no encontro nada.

Ahora tengo un problemita... cuando abro el administrador de tareas del winserver2003, en la pestaña de procesos, el archivo rundll32.exe se ejecuta una gran cantidad de veces (de 15 a 40 veces)hasta que se llena la memoria o el uso de la cpu y bloquea el servidor ...en ocasiones me saca los equipos clientes de la red o deshabilita el firewall de windows y no puedo entrar tampoco a las unidades de red creada.

no se si es por el mismo virus... que puede ser como lo soluciono?

Gracias de antemano
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 18/03/2009 03:53:30
Hola Nestor.
El virus en cuestión crea tareas programadas (o scheduled tasks), que son ejecutadas todas juntas (que justamente crea instancias de rundll32.exe). Debes borrar esas tareas y reiniciar el servidor.
Si no fuera eso, necesitaría más antecedentes para tratar de resolver el problema.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por nestor (10 intervenciones) el 18/03/2009 14:29:27
Siempre borro las tareas y reinicio, pero a los 10 min. vuelven a ejecutarsen y asi es todo el dia, borrando las tareas.

en la pestaña procesos sale asi:

Image name user name CPU Mem usage
rundll32.exe SYSTEM 00 1.164K
rundll32.exe SYSTEM 00 1.164K
rundll32.exe SYSTEM 00 1.164K
rundll32.exe SYSTEM 00 1.164K.........

que mas datos especificamente necesitas?

Gracias por la ayuda
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por nestor (10 intervenciones) el 18/03/2009 14:56:05
Otra cosita, desde que instale el SP3 en algunos equipos son los que mas se salen de red y se bloquean como lo desinstalo para que me queden como estan antes los equipos?
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 18/03/2009 19:32:59
Hola Nestor.
Si la herramienta de Microsoft detectó 67 infecciones en el servidor, entonces se me complica el ayudar a resolver tu problema. Sin embargo, la descripción que das arroja a Conficker como el culpable. Este gusano descarga malware adicional y posiblemente por ahí se explica tantas infecciones. Te recuerdo también que este gusano se copia a cualquier medio extraible -como memorias USB- (pero esto ya es un tema aparte). Quizás esos otros virus (ya eliminados) dejaron secuelas e impiden una correcta perspectiva de la problemática (si ya es complejo resolver estos asuntos estando frente a la máquina, lo es más aún para quien lo no está).

Te recomiendo dos herramientas para el asunto de los procesos: Process Explorer [1] y Autoruns [2]. El primero muestra el origen de los procesos en curso (o congelar, eliminar y mucho más). El segundo muestra todo lo que se ejecuta durante el arranque del sistema y/o del inicio de sesión.

Hace pocos días salió otra herramienta, que elimina nuevas variantes de Conficker [3]. A modo de complemento, Sophos [4] tiene varias sugerencias, dependiendo de los entornos de red que se tengan.
Para tener más antecedentes, quisiera saber qué sistemas de seguridad están implementados en el servidor y si aplicaste el parche de seguridad.

Con respecto a los host con WXP, el SP3 puede eliminarse si fue instalado como actualización. Pero si estaba ya integrado en la instalación de Windows, no se puede quitar. En todo caso no recomiendo su desinstalación, pues son muchos los parches de seguridad que se perderían.

Referencias:
[1] http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
[2] http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
[3] http://www.bdtools.net/
[4] http://esp.sophos.com/support/knowledgebase/article/51416.html

(*) Enlaces válidos al momento de publicar este mensaje.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por nestor (10 intervenciones) el 20/03/2009 16:02:52
Gracias por la ayuda... estoy en el proceso de desinfeccion con las nuevas herramientas.

ahora en varios equipos me sale el siguiente cuadro de dialogo:

Generic Host Process for win32 services

Generic Host Process for win32 services ha detectado un problema y debe cerrarse......

le doy clic en no enviar y el equipo se pone como cuando alguien accesa remotamente al equipo y practicamente me lo bloque y debo reicniar... que necesito hacer para ese problemita,,?

Gracias.. y perdon por tantos problemas que tengo y que necesito que me colaboren es que no soy muy experto en virus y ahora que al parecer esta infectando toda la red...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 21/03/2009 04:59:11
Hola Néstor.
Seamos ordenados en este asunto. Primero hay que saber el estado final del servidor, ¿se solucionó el problema de Conficker y las múltiples instancias de rundll32? Luego iremos al asunto de los host y sus propios problemas, ya que sino esto se vuelve un círculo vicioso: el servidor infecta a los host y estos infectan al servidor.

Hay que cortar desde raíz esta situación. Tienes que aislar al servidor (de los host), hacerle un diagnóstico, determinar el problema y aplicar las medidas necesarias (que es lo que hemos estado haciendo).
Anteriormente te pregunté cuáles son las medidas de seguridad aplicadas en el servidor (¿antivirus, firewall... nada?), pues desde ahí tendremos un punto de partida.

Sobre el error de esos host, ¿tienen WXP-SP2? ¿hay alguno que tenga WXP-SP3?
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por nestor (10 intervenciones) el 22/03/2009 17:04:04
Realice el mantenimiento de desinfeccion orientadas por ustedes aislando el servidor, pero sigue presentandome los mismos errores claro, cuando estaba aislado de la red, no presento ningun problema pero al conectarlo a la red inmediatamente comenzo a salir los problemas....

antivirus instalado es el Symantec Antivirus full version 9.0.2.1000 actualizado a fecha 18/03/2009, se tiene configurado el DOMINIO para el acceso de los host al servidor y se tienen compartida 3 carpetas (sw de facturacion, sw de contabilidad, y una carpeta para compartir archivos)...

cuando presentaba problemas de virus instalava el avast! para servidores y solucionaba el problema, pero ahora no lo ha hecho.

Este es el reporte del Symantec que tiene en cuarentena:

Date Filename Threat Original Location Status
22/03/2009 09:52:56 a.m. oeuofun[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5NMVWJ6L Infected
22/03/2009 09:43:09 a.m. ysxxjy[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE54FGFEJ8H Infected
22/03/2009 08:38:18 a.m. bsnk[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
22/03/2009 07:23:12 a.m. ysxxjy[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5NMVWJ6L Infected
21/03/2009 11:08:22 p.m. zwojlk[2].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5NMVWJ6L Infected
21/03/2009 04:53:26 p.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 04:51:22 p.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 03:57:07 p.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 03:50:57 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 02:13:31 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 02:07:19 p.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 02:05:31 p.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 01:38:22 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 01:16:06 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 11:35:58 a.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 10:59:33 a.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 10:22:06 a.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 10:00:38 a.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 09:50:43 a.m. x Downloader C:WINDOWSsystem32 Infected
21/03/2009 09:03:15 a.m. dixfalxt[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
21/03/2009 08:30:48 a.m. x W32.Downadup C:WINDOWSsystem32 Infected
21/03/2009 07:09:08 a.m. szks[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE56PEXSBET Infected
21/03/2009 07:02:33 a.m. npac[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE54FGFEJ8H Infected
21/03/2009 06:08:12 a.m. x W32.Downadup C:WINDOWSsystem32 Infected
20/03/2009 08:57:05 p.m. iyfpy[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
20/03/2009 07:40:36 p.m. halhgi[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5NMVWJ6L Infected
20/03/2009 06:22:00 p.m. iyfpy[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
20/03/2009 04:41:44 p.m. x Suspicious.MH690 C:WINDOWSsystem32 Infected
20/03/2009 04:08:38 p.m. aanacf[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE56PEXSBET Infected
20/03/2009 03:33:42 p.m. ELISTARA.CCBI.EXE Trojan.Fakeavalert E:instaladoresQUITAR VIRUSEliminar virus Conficker.Aparches confickerEliminar Conficker Infected
20/03/2009 03:33:03 p.m. ELISTARA.CCBI.EXE Trojan.Fakeavalert E:instaladoresQUITAR VIRUSEliminar virus Conficker.Aparches confickerEliminar Conficker Infected
20/03/2009 03:32:42 p.m. iyfpy[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE54FGFEJ8H Infected
20/03/2009 02:23:00 p.m. x Downloader C:WINDOWSsystem32 Infected
20/03/2009 02:10:26 p.m. dbiskrwk[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE56PEXSBET Infected
20/03/2009 02:09:12 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
20/03/2009 02:04:37 p.m. x W32.Downadup C:WINDOWSsystem32 Infected
20/03/2009 01:48:09 p.m. aanacf[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
20/03/2009 01:42:45 p.m. sobm[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE54FGFEJ8H Infected
20/03/2009 10:59:25 a.m. dlceooe[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5QDUH214B Infected
20/03/2009 09:40:59 a.m. qhaxl[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE56PEXSBET Infected
20/03/2009 09:37:20 a.m. nmycqc[1].jpg W32.Downadup C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE54FGFEJ8H Infected

espero se entienda.

con respecto al otro punto La mayoria de equipos tienen el SP2 instalado y hay otros que tienen el SP3, los que tienen SP3 estan mas infectados....

Gracias por la ayuda...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Cornelio (16 intervenciones) el 24/03/2009 00:53:14
Hola yo de nuevo

oye por q no borras todos los archivos temporales de tu maquina
borralos y depues desactiva restaurar sistemas y acutlizas antivirus,

reinicias a modo aprueba de fallos y analiza tu maquina y todos los virus q encuentres anota el nombre y si no son de sistema borralos y si son de sistemas mira la direccion y renombralos
a otra cosa entra el regedit y busca la carpeta run y es uan q tienen muchos procesos alrededor de unos 15 te deben de aparecer algunos q conoces como run.dll o alguno q diga archivos de programa entonces me mandas ese reporte y te digo q onda o sabes puedes bajar el avira ese te muestra todos los procesos corriendo y ya te digo cuale s el del virus y por q no se ha desinfectado

y reinicias y chks haber q te ahce a y recuerda volver activar
otra cosa me parece te recomiendo q pongas otro antivirus por q como q el symantec ya no la hizo mira yo en lo personal uso el nod 32

si necesitas ayuda y quieres q sea mas claro contactame ami correo

Saludos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por keyser.aacm (49 intervenciones) el 24/03/2009 07:42:05
Hola Néstor.
Veo que aún después de aplicar varias soluciones, sigues teniendo activo el gusano. Aquí el desafío más que eliminarlo es evitar que vuelva a infectar la red (un reto inusualmente difícil), pues tiene múltiples formas de propagación y defensas [1] [2] [3].
El comportamiento de este gusano ha cambiado según han aparecido distintas variantes, por lo que las prácticas recomendadas son:
- Conficker intenta acceder a cuentas con privilegios por medio de fuerza bruta, así es que las cuentas deben tener contraseñas seguras (entiéndase cuentas con privilegios elevados) -aunque el diccionario del gusano está en inglés, ésta es una política importante- [4] [5].
- Mantener actualizado el antivirus de servidores y hosts (para estar algo más preparado frente a futuras variantes y que eliminen las conocidas) y programarlos para que realicen escaneo una vez al día.
- Ejecutar como tarea de inicio la herramienta MSRT (Microsoft Removal Tool [6]) en los servidores (usando las opciones de comando para automatizar dicha utilidad).
- Los medios extraíbles (como memorias USB) deben ser revisados (en lo posible) y se debe deshabilitar la función de autorun [7] en todos los computadores (cosa que la misma Microsoft recomienda).

Con estos procedimientos el virus no desaparecerá al instante, pero sí en unos días (dependiendo del tamaño de la red), ya que se interrumpirá el ciclo de propagación.
Hasta el momento es la solución que ha dado mayor resultado en las redes infectadas. Existen otras soluciones, aunque son algo dispersas o requieren algún software específico [8] [9] [10] [11] [12].
Como información adicional, Malware Threat Center tiene hasta el momento el estudio técnico más completo sobre el gusano Conficker [13].

Referencias:
[1] http://blogs.eset-la.com/laboratorio/2009/01/09/
[2] http://www.hispasec.com/unaaldia/3740
[3] http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
[4] http://blogs.eset-la.com/laboratorio/2009/02/17/
[5] http://technet.microsoft.com/en-us/library/cc736605.aspx
[6] http://support.microsoft.com/?kbid=890830
[7] http://www.us-cert.gov/cas/techalerts/TA09-020A.html
[8] http://blog.eme3design.es/modules/news/article.php?storyid=110
[9] http://blog.eme3design.es/modules/news/article.php?storyid=116
[10] http://www.sahw.com/wp/archivos/2009/01/12/
[11] http://www.napera.com/blog/?p=549
[12] http://blog.sekiur.com/2009/02/step-by-step-in-dealing-with-conficker/
[13] http://mtc.sri.com/Conficker/addendumC/

(*) Enlaces válidos al momento de publicar este mensaje.
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por mai (1 intervención) el 31/03/2009 02:40:39
como puedo rastrear al creador para recibir la recompensa de 250,000dls
que esta dando microsoft
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:Eliminar Conficker - w32.Downadup - Downloader

Publicado por Pirulo (1 intervención) el 20/04/2009 17:48:58
Hola, no se si todavia tenes el problema, a mi me paso algo parecido y lo solucione llendo a Panel de Control -> Tareas Programadas y elimine todos los *.job que habia (que llamaban al rundll32) y por las dudas lo desabilite en Opciones Avanzadas (en el menu) -> Detener programador de tareas.
Tambien de puede directamente desabilitar el servicio...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar