msc hotline sat Wednesday, January 28, 2009
Bueno, gracias a que muchos usuarios ya tienen aplicado el parche MS08-067 no ha sido tan masivo como podia esperarse, si bien en organizaciones con algunos miles de equipos con politicas de no aplicar parches, pues ha habido unas cuantas para las que entre el VirusScan de McAfee, la utilidad que hemos creado al efecto USB445 y el parche indicado, se ha podido minimizar el perjuicio, aunque siempre hay pérdida de tiempo... Ver el articulo que se ha publicado en SATINFO para los asociados a sus servicios: http://www.satinfo.es/web/noticies/2009/usb445.html"Propagacion de nuevas variantes de Conficker"Microsoft publicó, a finales de Octubre de 2008, el parche MS08-067, que ya indicamos era importante aplicar, al ser una vulnerabilidad crítica de Windows, y permitir ejecución remota de código por intrusión a través de RPC (Remote Procedure Call) (información sobre el parche MS08-067).Aquellos usuarios que lo aplicaron ya no se infectaron con el primer Conficker que apareció al mes siguiente, en Noviembre, para los que no lo tenían aplicado quedaron expuestos a su infección y se infectaron, implementamos su control y eliminación en nuestra utilidad EliTriIP.
A finales de Diciembre ha aparecido una segunda generación de esta familia, corregida y aumentada, que entra igualmente por el indicado agujero en los ordenadores que aun no tienen aplicado dicho parche y que una vez infectado el ordenador, se propaga por la red a través de comparticiones administrativas y unidades extraibles como pendrives, memorias SD en general, MP3, camaras digitales, etc., y descarga actualizaciones de sí mismo y ficheros malwares, de determinadas webs.
Además del antivirus de McAfee actualizado para su control y eliminación en máquinas infectadas (arrancando en “Modo seguro”), es necesario tener actualizado el sistema.
Para poder instalar el parche sin recibir otra vez la intrusión del malware en dicha operación de descarga del parche, así como para desactivar la autoejecución de los dispositivos de almacenamiento USB, donde no se haya vacunado aun con nuestra utilidad EliPen muy recomendable (ver descripción EliPen), y aislar el fichero concreto para poder enviarnos el mismo para analizar, hemos creado la utilidad USB445.
Acciones que realizará la utilidad USB445:
1.- Cambiará la política de ejecución de los AUTORUN.INF, limitándola a las unidades de CD/DVD (que luego podrá modificarse y aplicar a las unidades extraíbles procesándolas con el EliPen indicado)
2.- Bloqueará, en dicha sesión, el acceso de intrusión por el puerto TCP 445 para impedir que durante la descarga e instalación del parche, pueda volver a intrusionar dicho troyano.
3.- Comprobará si existe el fichero JWGKVSQ.VMX en la carpeta \RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\ de todas las unidades disponibles en el ordenador, y si es el caso, lo moverá a la carpeta C:\MUESTRAS para ponerlo fuera de circulación, así como poder enviarnos muestra para analizar las variantes que vayan saliendo de esta familia.
4.- En la última versión elimina una clave de servicios que se carga incluso arrancando en modo seguro, lo cual facilita la eliminacion del malware tal como indicamos, al menos con el VirusScan de McAfee no nos da ningun problema.
Tras ejecutar dicha utilidad, podrá lanzarse un windowsupdate para actualizar parches (especialmente el MS08-067), tras ello, arrancar el sistema en “Modo seguro” y lanzar el antivirus para eliminar el virus en cuestión, así en todas las maquinas infectadas, y cuando estén limpias, poder conectarlas de nuevo entre si, libres de este virus y protegidas contra él.
De todas formas recuérdese que si se conecta una máquina infectada a dicha red, se infectará de nuevo la red, por lo que se recomienda especial cuidado con los portátiles, antes de conectarlos a cualquier red, revisar que no estén infectados.
Tras ello, ver si en C:\MUESTRAS\ hay algún fichero, en tal caso, enviárnoslo para analizar y si no tiene los dispositivos de almacenamiento USB vacunados contra propagación de virus de dicho tipo, vacúnelos con el EliPen.
Han sido relativamente pocos los usuarios infectados, gracias a tener aplicado el parche en cuestión, pero algunos, con muchos ordenadores y sin los parches al día, han sido víctimas de este virus y para los asociados que lo precisen, ofrecemos esta información y las utilidades en cuestión.
Nota: El puerto TCP 445 será normalizado a partir del siguiente reinicio del sistema, pero la desactivación de la ejecución automática de Autorun.inf permanecerá indefinidamente, salvo que se modifique manualmente.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 13 de Enero de 2009
Fuente: http://www.satinfo.esDESCARGA PARA EVALUACION DEL USB445.EXE EN ESTE FORO: http://www.zonavirus.com/descargas/usb445.asp
|
 RSS Noticias RSS Articulos RSS Descargas
>> Compartir
comparte con tus amigos, zonavirus.com
|
