marzo 28, 2024

Herramientas para la detección y desinfección del virus Conficker.

2
Voiced by Amazon Polly
Comparte en redes sociales

El virus Conficker es el malware del que más se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagación rápida. Lo más preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lógico que no se produjese debido a su repercusión mediática, lo más lógico sería realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artículo de The Honeynet Project llamado “Know Your Enemy: Containing Conficker”.

Aquí van unas herramientas para su detección y desinfección:

Escáner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escáner:

http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las máquinas infectadas en una red. Inspirado por el » downatool» de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C.

http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe

Explorador de memoria (de la Universidad de Bonn): Es difícil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema.

http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe

Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta:

http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe

Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las máquinas infectadas basada en el código de error para mensajes RPC:

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Vacuna para el virus Conficker A, B, C y D (no siempre funciona):

http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra:

  • W32/Conficker
  • W32/Conficker.gen
  • W32/Conficker.sys
  • W32/Conficker.worm
  • W32/Conficker.worm!inf
  • W32/Conficker.worm!job
  • W32/Conficker.worm.dr
  • W32/Conficker.worm.gen.a
  • W32/Conficker.worm.gen.b
  • W32/Conficker.worm.gen.c
  • W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx

Asimismo una de las aplicaciones de escaneo de vulnerabilidades más popular Nessus, cuenta con un plugin (#36036) que está basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infección en una red.

The Honeynet Project “Know Your Enemy: Containing Conficker”:

Haz clic para acceder a KYE-Conficker.pdf

Informe Universidad de Bonn:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Virus zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html

2 pensamientos sobre “Herramientas para la detección y desinfección del virus Conficker.

Deja un comentario