Con las infecciones por Conficker aún en propagación, las buenas noticias son que hay formas para protegerse de él y limpiar vuestro ordenador en caso de que hayáis resultado infectados.

La saga de Conficker comenzó en Noviembre de 2008, cuando Microsoft informó de un gusano que aprovechaba un fallo en un servicio de Windows Server que la compañía “parcheó” en Octubre de 2008. Desde entonces, el gusano ha infectado millones de máquinas.

La variante más prolífica, identificada por Microsoft como Win32/Conficker.B, se propaga no sólo gracias al fallo de Windows, sino también a través de las carpetas compartidas de red, identificándose en máquinas que utilizan contraseñas de mínimo nivel de seguridad. También se propaga copiándose a sí mismo en medios extraíbles, un método de ataque que lo ha hecho subir como la espuma durante el pasado año.

Ante esto, ¿qué pueden hacer los usuarios para protegerse de esta amenaza? Hay varias respuestas. La primera es obvia: aplicar el parche de Microsoft (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), y asegurarse de que el antivirus esta actualizando con la última versión disponible del identificador de firmas. Aún así, también hay algunas alternativas para los que, por cualquier razón, no puedan aplicar el parche. Por ejemplo, se puede desactivar el servicio “Examinador de equipos” de Windows Server, y bloquear los puertos TCP 139 y 445 en el Firewall del equipo.

Por suerte, la práctica mayoría de las empresas de seguridad son capaces de detectar y eliminar Conficker.

Más allá de lo obvio, sin embargo, hay otras cosas que podemos hacer. Lo primero es desactivar la característica AutoRun de Windows. Se trata de la función que permite que se ejecute un programa o acción determinada al insertar un CD/DVD en la unidad, o cuando conectamos una memoria/disco externo USB al ordenador. Esta capacidad ha sido ampliamente explotada por los autores de malware para propagar sus infecciones.

Para desactivar esta característica, los usuarios tienen que importar el siguiente valor de registro:

REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@=”@SYS:DoesNotExist”

Como hemos indicado arriba, Conficker se propaga copiándose a sí mismo a través de la compartida ADMIN$ del equipo de destino. Según Microsoft, primero intenta utilizar las credenciales del usuario que ha iniciado sesión en la máquina infectada, lo que funciona realmente bien en entornos donde una misma cuenta de usuario es utilizada en diferentes equipos de la red, y con derechos completos de administración. Si esto falla, el gusano utiliza una lista de cuentas de usuario contra su máquina objetivo, y prueba a conectarse a ella con cada uno de los nombres de usuario y contraseñas de baja seguridad que almacena en dicho listado.

Esto puede ser combatido con tan sólo utilizar buenas contraseñas de red para cualquier recurso compartido o cuenta de usuario de la red.

A pesar de todo, esto deja en el aire qué hacer si los ordenadores de los usuarios ya han sido infectados. Conficker realiza un paso adicional, que consiste en cerrar cualquier proceso cuyo nombre pueda indicar que se trata de un programa antivirus, al tiempo que bloquea el acceso al servicio de Windows Update, así como a las webs de las principales empresas de seguridad. Podéis consultar la lista completa desde aquí (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B)

Por suerte hay herramientas que pueden ser descargadas para eliminar el software malicioso, como el Active Scan de Panda Security (http://www.activescan.com/), que los equipos infectados pueden utilizar para eliminar el gusano.

Si sabes que estas infectado y te sientes capaz de hacerlo, también puedes eliminarlo manualmente utilizando las instrucciones que se detallan desde Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=3

Mientras tanto, los expertos en seguridad están especulando todavía sobre cuál era el objetivo final de los hackers que crearon este gusano. Algunos han sugerido que podría tratarse de un plan para crear un botnet masivo (equipos zombies); otros no están tan seguros.

“Pensamos que ha sido una distracción a gran escala para ocultar brechas de seguridad” dijo Ryan Sherstobitoff, jefe de negocio corporativo de Panda Security. “No parece que las variantes de Conficker estén construyendo un botnet, aunque tampoco nos sorprendería. Este es un ataque que no habíamos visto en bastante tiempo, y realmente podría ser una señal de aviso de algo más grande que podría estar por venir”.