En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas para la detección y desinfección del virus Conficker.

El virus Conficker es el malware del que más se habla en estos momentos, aunque en principio no es un virus peligroso para los sistemas que infecta sus mutaciones lo han convertido en un virus de propagación rápida. Lo más preocupante que puede tener este virus es el uso de su red zombi que puede estar entre 10 millones de ordenadores infectados. Aunque muchos esperaban el ataque de esta red el 1 abril, era lógico que no se produjese debido a su repercusión mediática, lo más lógico sería realizar este ataque por sorpresa. Los que quieran conocer afondo este virus les dejo un artículo de The Honeynet Project llamado “Know Your Enemy: Containing Conficker”.

Aquí van unas herramientas para su detección y desinfección:

Escáner online (de la Universidad de Bonn) para detectar las variantes Conficker.B y .C ,la variante A no se puede detectar con este escáner:

http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

Downatool2 (de la Universidad de Bonn): Los nombres de dominio de diversas variantes de Conficker se pueden utilizar para detectar las máquinas infectadas en una red. Inspirado por el " downatool" de MHL y de B. Enright, Downatool2 puede ser utilizado para generar los dominios para Downadup/Conficker.A. B, y. C.

http://iv.cs.uni-bonn.de/uploads/media/downatool2_01.exe

Explorador de memoria (de la Universidad de Bonn): Es difícil identificar los archivos que contienen Conficker, porque se embalan y se cifran los ejecutables. Cuando Conficker funciona en memoria, se desempaqueta completamente. Este herramienta explora la memoria y proceso que corre en el sistema y termina los procesos y subprocesos del virus. Esto ayuda a proteger el funcionamiento de los servicios del sistema.

http://iv.cs.uni-bonn.de/uploads/media/conficker_mem_killer.exe

Detector de archivos y registro (de la Universidad de Bonn): Los nombres de archivo y las claves de Conficker.B y C del registro no son al azar se calculan en base al hostname. En base a esto la herramienta compruebe si hay DLL o claves del registro del virus Conficker. Desafortunadamente, Conficker.A utiliza nombres al azar y no se puede detectar con esta herramienta:

http://iv.cs.uni-bonn.de/uploads/media/regnfile_01.exe

Explorador de la red (de la Universidad de Bonn): Hay una manera de distinguir las máquinas infectadas basada en el código de error para mensajes RPC:

http://iv.cs.uni-bonn.de/uploads/media/scs_exe.zip

Vacuna para el virus Conficker A, B, C y D (no siempre funciona):

http://iv.cs.uni-bonn.de/uploads/media/nonficker_01.zip

McAfee W32/Conficker Stinger: utilidad para detectar y eliminar el virus Conficker y todas sus variantes. Resulta por tanto indicado para luchar contra:

  • W32/Conficker
  • W32/Conficker.gen
  • W32/Conficker.sys
  • W32/Conficker.worm
  • W32/Conficker.worm!inf
  • W32/Conficker.worm!job
  • W32/Conficker.worm.dr
  • W32/Conficker.worm.gen.a
  • W32/Conficker.worm.gen.b
  • W32/Conficker.worm.gen.c
  • W32/Conficker.worm.gen.d

http://vil.nai.com/vil/averttools.aspx

Asimismo una de las aplicaciones de escaneo de vulnerabilidades más popular Nessus, cuenta con un plugin (#36036) que está basado en el explorador de la red (de la Universidad de Bonn). Se puede utilizar Nessus para detectar la infección en una red.

The Honeynet Project “Know Your Enemy: Containing Conficker”:
http://www.honeynet.org/files/KYE-Conficker.pdf

Informe Universidad de Bonn:
http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/

Virus zombis:
http://vtroger.blogspot.com/2006/02/virus-zombis.html
Herramientas para la detección y desinfección del virus Conficker. Herramientas para la detección y desinfección del virus Conficker. Reviewed by Álvaro Paz on viernes, abril 03, 2009 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.