Ene 22 2009

Guia para eliminar Downadup y Conficker

Categoria: Seguridad, Tutoriales y Ayuda | Enviado por: JosesitoX

Que son estos archivos maliciosos?

Un programa independiente malicioso que utiliza los recursos de la red o equipo para hacer copias completas de sí mismo. Pueden incluir código o de otro tipo de malware a los daños tanto al sistema y la red.

Desinfección

Herramientas de eliminación de F-Downadup
Herramienta específica para Downadup heurística con variantes del gusano:
ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

FSMRT
No específica herramienta de detección, mayor tamaño de archivo:

• ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

Nota: estas son herramientas de línea de comandos, por favor lea el archivo de texto incluido en el ZIP para detalles adicionales.

Actualizaciones

Estas herramientas son beta. Utilice el siguiente ubicación FTP para determinar el archivo de fechas:
• ftp://ftp.f-secure.com/anti-virus/tools/beta/

Opciones de exploración

Downadup hace uso de nombres aleatorios de extensión con el fin de evitar la detección.

Durante la desinfección opciones de análisis debería fijarse en:
• Digitalizar todos los archivos

Microsoft Help and Support

Artículo de Knowledge Base 962007 ofrece numerosos detalles de desinfección manual de Conficker.B (alias Downadup).
• http://support.microsoft.com/kb/962007
Detalles adicionales
Tras la ejecución, el Downadup (Kido, Conflicker) el gusano crea copias de sí mismo en:
• %System%\[Random].dll % System% \ [Aleatorio]. Dll
• %Program Files%\Internet Explorer\[Random].dll %% Archivos de programa \ Internet Explorer \ [Aleatorio]. Dll
• %Program Files%\Movie Maker\[Random].dll %% Archivos de programa \ Movie Maker \ [Aleatorio]. Dll
• %All Users Application Data%\[Random].dll % Todos los usuarios de aplicaciones de datos% \ [Aleatorio]. Dll
• %Temp%\[Random].dll % Temp% \ [Aleatorio]. Dll
• %System%\[Random].tmp % System% \ [Aleatorio]. Tmp
• %Temp%\[Random].tmp % Temp% \ [Aleatorio]. Tmp
* Nota: [Aleatorio] representa un nombre generado aleatoriamente.

Cada archivo se modifica la fecha para que coincida con la fecha y hora de la% system% \ Kernel32.dll archivo. El gusano crea entonces autorun entradas en el registro, que asegurarse de que una copia del gusano se ejecuta en cada inicio del sistema.

El gusano puede crear los siguientes archivos en las unidades extraíbles y mapeadas:
• %DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 random characters] LetraDeUnidad%% \ RECYCLER \ S-% d-% d-% d-% d% d% d-% d% d% d-% d% d% d-% d \ [...].[ 3 azar caracteres]
• %DriveLetter%\autorun.inf LetraDeUnidad%% \ autorun.inf

Y adherirse a los siguientes procesos:
• svchost.exe
• explorer.exe
• services.exe
El gusano desactiva una serie de características del sistema, a fin de facilitar sus actividades. Deshabilita los siguientes servicios de Windows:

• Automáticas de Windows Update Service (wuauserv)
• Servicio de transferencia inteligente en segundo plano (BITS)
• Centro de seguridad de Windows Service (wscsvc)
• Windows Defender Service (WinDefend)
• Informe de errores de Windows Service (ERSvc)
• Informe de errores de Windows Service (WerSvc)

Además de la desactivación de estos servicios, se comprueba si se está ejecutando sobre una máquina con Windows Vista, si es así, también ejecuta el comando siguiente para desactivar Windows Vista TCP / IP automático de ajuste:

• netsh interface tcp = automático del conjunto global de los discapacitados

El gusano también ganchos de las siguientes API’s, a fin de impedir el acceso cuando el usuario intenta acceder a una larga lista de dominios:

• DNS_Query_A
• DNS_Query_UTF8
• DNS_Query_W
• Query_Main
• sendto SendTo

Si el usuario intenta acceder a los siguientes aspectos, principalmente relacionados con la seguridad de dominios, su acceso está bloqueado:

• virus
• spyware el software espía
• malware
• rootkit
• defender defensor
• microsoft
• symantec
• norton
• mcafee
• trendmicro TrendMicro
• sophos Sophos
• panda
• etrust eTrust
• networkassociates
• computerassociates
• f-secure F-Secure
• kaspersky
• jotti
• f-prot
• nod32
• eset Eset
• grisoft Grisoft
• drweb DrWeb
• centralcommand
• ahnlab AhnLab
• esafe eSafe
• avast
• avira Avira
• quickheal
• comodo
• clamav
• ewido
• fortinet Fortinet
• gdata GData
• hacksoft
• hauri Hauri
• ikarus
• k7computing
• norman
• pctools
• prevx
• rising el aumento de
• securecomputing
• sunbelt Sunbelt
• emsisoft Emsisoft
• arcabit
• cpsecure
• spamhaus Spamhaus
• castlecops
• threatexpert
• wilderssecurity
• windowsupdate WindowsUpdate
• nai
• ca
• avp
• avg AVG
• vet veterinario
• bit9
• sans
• cert CERT

Propagación

Para propagarse, el gusano primero modifica la siguiente entrada del Registro para que se puede propagar con mayor rapidez a través de una red:
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
“TcpNumConnections” = dword:0×00FFFFFE
El gusano utiliza este controlador para acelerar su capacidad de propagación, ya que modifica el número de conexiones medio-abiertas a un 0×10000000 (268435456) en la memoria, una función aplicado en% system% \ drivers \ Tcpip.sys.

Que los controles de un equipo en torno a la red usando NetServerEnum y, a continuación, intenta iniciar sesión en cualquier equipo encontró con una de las siguientes credenciales de acceso:
1. Uso de las credenciales de la cuenta del usuario infectado, y si esta cuenta no tiene privilegios de administrador en la máquina objetivo, esta operación no tendrá éxito.
2. La adquisición de la lista de nombres de usuario de ordenador con el objetivo NetUserEnum la API, a continuación, intentar iniciar sesión en el ordenador mediante dirigidas las cuentas de usuario y una de las siguientes contraseñas:

o [username] [nombre de usuario]
o [username][username] [nombre de usuario] [nombre de usuario]
o [reverse_of_username]
o 00000
o 0000000
o 00000000
o 0987654321
o 11111
o 111111
o 1111111
o 11111111
o 123123
o 12321
o 123321
o 12345
o 123456
o 1234567
o 12345678
o 123456789
o 1234567890
o 1234abcd
o 1234qwer
o 123abc
o 123asd
o 123qwe
o 1q2w3e
o 22222
o 222222
o 2222222
o 22222222
o 33333
o 333333
o 3333333
o 33333333
o 44444
o 444444
o 4444444
o 44444444
o 54321
o 55555
o 555555
o 5555555
o 55555555
o 654321
o 66666
o 666666
o 6666666
o 66666666
o 7654321
o 77777
o 777777
o 7777777
o 77777777
o 87654321
o 88888
o 888888
o 8888888
o 88888888
o 987654321
o 99999
o 999999
o 9999999
o 99999999
o a1b2c3
o aaaaa
o abc123
o academia el mundo académico
o access acceso
o account cuenta
o Admin
o admin administrador
o admin1
o admin12
o admin123
o adminadmin
o administrator administrador
o anything cualquier cosa
o asddsa
o asdfgh
o asdsa
o asdzxc
o backup copia de seguridad
o boss123
o business negocio
o campus
o changeme
o cluster grupo
o codename en clave
o codeword código
o coffee café
o computer ordenador
o controller controlador
o cookie
o customer cliente
o database base de datos
o default predeterminado
o desktop escritorio
o domain dominio
o example ejemplo
o exchange intercambio
o explorer explorador
o files archivos
o foobar
o foofoo
o forever para siempre
o freedom libertad
o games juegos
o home123
o ihavenopass
o Internet
o internet Internet
o intranet Intranet
o killer asesino
o letitbe
o letmein
o Login Inicio de sesión
o login inicio de sesión
o lotus loto
o love123
o manager director
o market mercado
o money dinero
o monitor vigilar
o mypass
o mypassword micontraseña
o mypc123
o nimda Nimda
o nobody nadie
o nopass
o nopassword
o nothing nada
o office oficina
o oracle oráculo
o owner propietario
o pass1
o pass12
o pass123
o passwd
o Password Contraseña
o password contraseña
o password1 Password1
o password12
o password123
o private privado
o public público
o pw123
o q1w2e3
o qazwsx
o qazwsxedc
o qqqqq QQQQQ
o qwe123
o qweasd
o qweasdzxc
o qweewq
o qwerty QWERTY
o qwewq
o root123
o rootroot
o sample muestra
o secret secreto
o secure seguro
o security seguridad
o server servidor
o shadow sombra
o share compartir
o student estudiante
o super
o superuser superusuario
o supervisor
o system sistema
o temp123
o temporary temporal
o temptemp
o test123
o testtest
o unknown desconocido
o windows ventanas
o work123
o xxxxx
o zxccxz
o zxcvb
o zxcvbn
o zxcxz
o zzzzz ZZZZZ

Si el éxito del gusano accede al recurso compartido de red, se creará una copia de sí mismo a la “ADMIN $” cuota de la siguiente manera:

• \\[Server Host Name]\ADMIN$\System32\[random filename].[random extension] \ \ [Nombre de host del servidor] \ ADMIN $ \ System32 \ [nombre de archivo aleatorio]. [Random extensión]

A continuación, crea un diario de trabajo previsto en el servidor remoto, a fin de ejecutar el siguiente comando:

• rundll32.exe [random filename].[random extension], [random]
El gusano también puede propagarse por la descarga de una copia de sí mismo a otras máquinas vulnerables a una explotación de la crítica MS08-067 de vulnerabilidad. Para ello, primero el gusano se conecta a los sitios siguientes para recuperar el sistema ExternalIPAddress%%:

• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org
• http://www.whatsmyipaddress.com

A continuación, el gusano crea un servidor HTTP en un puerto aleatorio:
• http://%ExternalIPAddress%:%RandomPort% http:// ExternalIPAddress%%%% RandomPort
Crear el servidor HTTP permite que el malware para enviar paquetes especialmente preparados (explotar el código) de la máquina infectada a otras máquinas. Si la explotación es satisfactoria, la máquina específica se ve obligado a descargar una copia de los programas maliciosos a partir de la primera máquina infectada.

El malware ha descargado una de las siguientes extensiones:
• bmp
• gif
• jpeg
• png

A continuación, ganchos NetpwPathCanonicalize API a fin de evitar la explotación de la vulnerabilidad más.

Descargas

Downadup es capaz de descargar archivos en el sistema infectado. En primer lugar, el gusano se conecta a uno de los siguientes dominios para obtener la fecha actual del sistema:

• ask.com Ask.com
• baidu.com
• google.com
• w3.org
• yahoo.com

El sistema obtiene la fecha se utiliza para generar una lista de ámbitos en los que el malware puede descargar archivos adicionales.

A continuación, verifica si la fecha actual es de al menos 1 de enero de 2009. En caso afirmativo, se descarga y ejecuta archivos desde:
• http://%PredictableDomainsIPAddress%/search?q=%d http://% PredictableDomainsIPAddress% / search? q =% d

Nota:%% PredictableDomainsIPAddress generado es el dominio sobre la base de la fecha del sistema.

El archivo descargado tiene el formato:
• [random]. tmp

Registro

El gusano borra una serie de claves del registro, a fin de desactivar el Centro de seguridad y evitar notificaciones de inicio de Windows Defender. También ignora el Firewall de Windows mediante la creación de la siguiente entrada del Registro, a fin de que el sistema puede descargar una copia del gusano:
• HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ GloballyOpenPorts \ Lista, [PortNumber]: TCP = “[PortNumber]: TCP: * Enabled: [random]”

Para ocultar su presencia en el sistema, el gusano borra cualquier sistema de puntos de restauración creados por el usuario y, a continuación, modifica las siguientes claves del Registro:
• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ SHO WALLCheckedValue = dword: 00000000
• HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost, netsvcs Anterior datos =%% y%% aleatoria

Durante la infección, el gusano puede crear una de carácter temporal (PGT) en el archivo del sistema o carpetas Temp. El PGT archivo creado se registra como un servicio del núcleo conductor mediante la siguiente entrada del Registro:
• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ [random]
Type = dword: 00000001
Start = dword: 00000003
ErrorControl = dword: 00000000
ImagePath = “\ … \% MalwarePath% \ [random]. Tmp”
DisplayName = [Aleatorio]

Una vez que la clave es creado, el archivo% MalwarePath% \ [random]. Tmp es eliminado.

Un interesante cambio hace que el gusano en el registro implica las siguientes entradas del Registro:

• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \
DisplayName =% ServiceName%
Type = dword: 00000020
Start = dword: 00000002
ErrorControl = dword: 00000000
ImagePath = “% SystemRoot% \ system32 \ svchost.exe-k netsvcs”
ObjectName = “LocalSystem”
Descripción descripción =%%
• HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ [random] \ Parameters
ServiceDll =% MalwarePath%

En estas entradas,% ServiceName% representa una combinación de dos palabras tomadas de la siguiente lista:
• Boot Arranque
• Center Centro
• Config
• Driver Conductor
• Helper Ayudante
• Image Imagen
• Installer Instalador
• Manager Director
• Microsoft
• Monitor Monitor de
• Network Red
• Security Seguridad
• Server Servidor
• Shell
• Support Apoyar
• System Sistema
• Task Tarea
• Time Tiempo
• Universal
• Update Actualizar
• Windows De Windows

Manual de medidas para eliminar la variante Conficker.b
Las condiciones siguientes pasos te ayudarán a quitar manualmente Conficker.b de un sistema:
1. Inicie sesión en el sistema utilizando una cuenta local.

Importante: no iniciar sesión en el sistema utilizando una cuenta de dominio, si es posible. Sobre todo, no iniciar sesión utilizando una cuenta de administrador de dominio. El programa malicioso suplanta al usuario conectado y accesos a los recursos de la red mediante el uso de las credenciales de usuario conectado. Este comportamiento permite a la propagación de malware.
2. Detenga el servicio Servidor. Esto elimina las cuotas de administración del sistema a fin de que el malware no puede propagarse mediante el uso de este método.

Nota El servicio Servidor sólo debería ser desactivado temporalmente mientras limpiar el malware en su entorno. Esto es especialmente cierto en servidores de producción porque esta medida afectará a la disponibilidad de recursos de red. Tan pronto como el medio ambiente está limpio, el servicio Servidor se puede volver a habilitarse.

Para detener el servicio Servidor, el uso de los Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
a. Dependiendo de su sistema, haga lo siguiente:
 En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.
 En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
b. Haga doble clic en Servidor.
c. Haga clic en Detener.
d. . Seleccione Desactivado en el cuadro Tipo de inicio.
e. Haga clic en Aplicar.
3. Detener el servicio Programador de tareas.
o Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice los Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.
o Para detener el servicio Programador de tareas en Windows Vista o en Windows Server 2008, siga estos pasos.
Importante Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro.. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el Registro. Por lo tanto, asegúrese de que seguir estos pasos cuidadosamente. Para mayor protección, copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 (http://support.microsoft.com/kb/322756/ ) How to back up and restore the registry in Windows 322756 (http://support.microsoft.com/kb/322756/) Cómo hacer copia de seguridad y restaurar el Registro en Windows
a. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y, a continuación, haga clic en regedit.exe en la lista Programas.
b. Busque y haga clic en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Schedule
c. En el panel de detalles, haga clic con el botón de inicio de entrada DWORD y, a continuación, haga clic en Modificar.
d. En el cuadro Información del valor, escriba 4 y, a continuación, haga clic en Aceptar.
e. Cierre el Editor del Registro y, a continuación, reinicie el equipo.
4. Descargar e instalar manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx)
Nota: este sitio puede ser bloqueado a causa de la infección viral. En este escenario, debe descargar la actualización desde una computadora no infectada y, a continuación, transferir el archivo de actualización en el sistema infectado. Le recomendamos que actualice la quema en un CD, porque el CD grabado no puede ser reescrito. Por lo tanto, no pueden ser infectados. Si una unidad de CD grabable no está disponible, una unidad de memoria extraíble USB puede ser la única forma de copiar la actualización en el sistema infectado. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectar la unidad con un archivo. Después de copiar la actualización en la unidad extraíble, asegúrese de que usted cambia la unidad a modo de sólo lectura, si la opción está disponible para su dispositivo. Si modo de sólo lectura está disponible, suele ser activado mediante un interruptor físico en el dispositivo. Luego, después de copiar el archivo de actualización en el equipo infectado, consulte la unidad extraíble para ver si un archivo Autorun.inf fue escrito para la unidad. Si lo es, cambiar el nombre del archivo Autorun.inf Autorun.bad a algo como para que no se puede ejecutar cuando la unidad extraíble se conecta a un ordenador.
5. Restablecer cualquier administrador local y administrador de contraseñas de dominio a utilizar una nueva contraseña. Para más información, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/cc875814.aspx
6. En el Editor del Registro, busque y haga clic en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost
7. En el panel de detalles, haga clic con el botón netsvcs entrada y, a continuación, haga clic en Modificar.
8. Desplázate hasta la parte inferior de la lista. Si el ordenador está infectado con Conficker.b, una al azar el nombre del servicio será incluido. Por ejemplo, en este procedimiento, vamos a asumir el nombre del servicio es de malware “gzqmiijz”. Usted necesitará esta información más adelante en este procedimiento.
9. Eliminar la línea que contiene la referencia al servicio de malware. Asegúrese de que usted deje una línea en blanco bajo la última entrada que es legítima la lista y, a continuación, haga clic en Aceptar.

Nota: Todas las entradas en la lista siguiente son válidas. No borre ninguna de estas entradas.. La entrada que debe ser eliminado se genera aleatoriamente un nombre que es la última entrada en la lista.
10. AppMgmt
11. AudioSrv
12. Browser Navegador
13. CryptSvc
14. DMServer
15. EventSystem
16. HidServ Hidserv
17. Ias NIC
18. Iprip
19. Irmon
20. LanmanServer
21. LanmanWorkstation
22. Messenger Mensajero
23. Netman
24. Nla NLA
25. Ntmssvc
26. NWCWorkstation
27. Nwsapagent
28. Rasauto
29. Rasman
30. Remoteaccess RemoteAccess
31. Sacsvr
32. Schedule Programa
33. Seclogon
34. SENS
35. Sharedaccess SharedAccess
36. Themes Temas
37. TrkWks
38. TrkSvr
39. W32Time
40. WZCSVC
41. Wmi
42. WmdmPmSp
43. winmgmt
44. wuauserv
45. BITS
46. ShellHWDetection
47. uploadmgr
48. WmdmPmSN
49. xmlprov
50. AeLookupSvc
51. helpsvc
axyczbfsetg
52. Restrinja los permisos en la clave del Registro SVCHOST para que no se pueden escribir de nuevo. Para ello, siga estos pasos.

Notes Notas
o Debe restaurar los permisos predeterminados después de que el medio ambiente ha sido completamente limpiado.
o En Windows 2000, debe utilizar Regedt32 para establecer los permisos del Registro.
b. En el Editor del Registro, busque y haga clic en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost
c. Haga clic derecho en el Svchost subclave y, a continuación, haga clic en Permisos.
d. En los permisos de entrada para SvcHost el cuadro de diálogo, haga clic en Opciones avanzadas.
e. En el cuadro de diálogo Avanzadas, haga clic en Agregar.
f. En el cuadro Seleccione usuario, ordenador o grupo cuadro de diálogo, escriba a todos y, a continuación, haga clic en Comprobar nombres.
g. Click OK . Haga clic en Aceptar.
h. En los permisos de entrada para SvcHost el cuadro de diálogo, seleccione Esta clave sólo en Aplicar en la lista y, a continuación, haga clic para seleccionar la casilla de verificación Denegar para el permiso de entrada Establecer valor.
i. Click OK two times. Haga clic en Aceptar dos veces.
j. Click Yes when you receive the Security warning prompt. Haga clic en Sí cuando aparezca el símbolo de alerta de seguridad.
k. Click OK . Haga clic en Aceptar.
53. En un procedimiento anterior, señaló que el nombre del servicio de malware. En nuestro ejemplo, el nombre de la entrada fue de malware “gzqmiijz”. Con esta información, siga estos pasos:
. En el Editor del Registro, busque y haga clic en la siguiente subclave del Registro, donde BadServiceName es el nombre del servicio de malware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ BadServiceName
Por ejemplo, busque y haga clic en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gzqmiijz HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ gzqmiijz
a. Haga clic derecho en la subclave en el panel de navegación para el nombre de servicio de malware y, a continuación, haga clic en Permisos.
b. En los permisos de entrada para SvcHost el cuadro de diálogo, haga clic en Opciones avanzadas.
c. Seguridad Avanzada en el cuadro de diálogo Configuración, haga clic para seleccionar cada una de las siguientes casillas:
Heredar del entradas de permisos relativas a los objetos. Incluirlas junto con las entradas indicadas aquí de forma explícita.

Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que se aplican a los objetos
54. Presione la tecla F5 para actualizar el Editor del RegistroEn el panel de detalles, ahora puedes ver y editar el archivo DLL que se carga viral como “ServiceDll” Para ello, siga estos pasos:

. Haga doble clic en el ServiceDll entrada.
a. Nota: la ruta de referencia de la DLL. Usted necesitará esta información más adelante en este procedimiento. Por ejemplo, el camino de la referencia a la DLL pueden parecerse a lo siguiente:
%SystemRoot%\System32\emzlqqd.dll % SystemRoot% \ System32 \ emzlqqd.dll
Cambie el nombre de la referencia a parecerse a lo siguiente:
%SystemRoot%\System32\emzlqqd.old % SystemRoot% \ System32 \ emzlqqd.old
b. Click OK . Haga clic en Aceptar.
55. Eliminar el malware a partir de la entrada de servicio Ejecutar subclave en el Registro.
. Editor, En el Editor del Registro, busque y haga clic en las siguientes subclaves del Registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
a. En ambos subclaves, busque una entrada que comienza con “rundll32.exe”, y también hace referencia al archivo DLL que se carga viral como “ServiceDll” que identificó en el paso 12 ter. Eliminar la entrada.
b. Cierre el Editor del Registro y, a continuación, reinicie el equipo.
56. Compruebe que los archivos Autorun.inf de unidades en todo el sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, comprobar que es válido un archivo Autorun.inf.El siguiente es un ejemplo típico de un archivo Autorun.inf válida.
57. [autorun]

58. shellexecute=Servers\splash.hta *DVD* ShellExecute = Servers \ splash.hta * DVD *

59. icon=Servers\autorun.ico icono = Servers \ autorun.ico
A valido Autorun.inf es típicamente de 1 a 2 kilobytes (KB).
60. Elimine cualquier archivo Autorun.inf que no parecen ser válidas.
61. . Reinicie el equipo.
62. Para ello, escriba el siguiente comando en un símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0×1 /f Reg.exe añadir HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ carpeta \ ocultos \ SHOWALL / v CheckedValue / t REG_DWORD / d 0×1 / f
63. Establezca Mostrar archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
. En el paso 12 ter, que señaló el camino de la referencia para el archivo DLL de malware.: Por ejemplo, señaló un camino que se asemeja a lo siguiente:
%systemroot%\System32\emzlqqd.dll % systemroot% \ System32 \ emzlqqd.dll
En el Explorador de Windows, abra la carpeta% systemroot% \ System32, o el directorio que contiene el malware.
a. Haga clic en Herramientas y, a continuación, haga clic en Opciones de carpeta.
b. Haga clic en la ficha Ver.
c. Seleccione la opción Mostrar archivos y carpetas ocultos casilla de verificación.
d. Haga clic en Aceptar.
64. Seleccione el archivo DLL.
65. Editar los permisos del archivo para agregar Control total para todos: Para ello, siga estos pasos:
. Haga clic derecho en el archivo DLL y haga clic en Propiedades.
a. Haga clic en la ficha Seguridad.
b. Haga clic en Todos y, a continuación, haga clic para seleccionar la casilla de verificación Control total en la columna Permitir.
c. Click OK . Haga clic en Aceptar.
66. Elimine el archivo DLL de referencia para el malware Por ejemplo, elimine el% systemroot% \ System32 \ emzlqqd.dll archivo.
67. Quite todos los creados en las tareas programadas. Para ello, escriba AT / Borrar / Si en un símbolo.
68. Habilitar el BITS, Actualizaciones automáticas, de informe de errores, Windows Defender y servicios mediante el uso de los Servicios de Microsoft Management Console (MMC).
69. Apague Autorun para ayudar a reducir el efecto de la reinfección. Para ello, siga estos pasos:
. Dependiendo de su sistema, instalar una de las siguientes actualizaciones:
 Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 953252. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
953252 (http://support.microsoft.com/kb/953252/) Cómo corregir “disable Autorun clave del Registro” en la ejecución de Windows
 Si está ejecutando Windows Vista o Windows Server 2008, instalar la actualización de seguridad 950582. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
950582 (http://support.microsoft.com/kb/950582/) MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código
a. Nota Actualización de la actualización de seguridad 953252 y 950582 no están relacionados con esta cuestión de malware. Estas actualizaciones se debe instalar para permitir que la función de registro en el paso 23b.
b. Escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 0xff /f Reg.exe añadir HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer / v NoDriveTypeAutoRun / t REG_DWORD / d 0xff / m
70. . Si el sistema está ejecutando Windows Defender, volver a habilitar el inicio automático de Windows Defender ubicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “Windows Defender” /t REG_EXPAND_SZ /d “%ProgramFiles%\Windows Defender\MSASCui.exe –hide” /f Reg.exe añadir HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run / v “Windows Defender” / t REG_EXPAND_SZ / d “% ProgramFiles% \ Windows Defender \ MSASCui.exe-hide” / m
71. Para Windows Vista y sistemas operativos posteriores, el malware modifica la configuración global para la ventana de recepción de TCP de ajuste automático a los discapacitados. Para cambiar esta configuración, escriba el comando siguiente en un símbolo del sistema:
netsh interface tcp set global autotuning=normal netsh interface tcp conjunto mundial automático = normal
Si, después de completar este procedimiento, el equipo parece estar reinfectados, cualquiera de las condiciones siguientes puede ser cierto:
• Uno de los lugares de arranque automático no se quitó. Por ejemplo, ya sea en el trabajo no fue eliminado, o un archivo Autorun.inf no se quitó.
• La actualización de seguridad para MS08-067 se ha instalado incorrectamente
Este programa malicioso puede cambiar otros ajustes que no se abordan en este artículo de Knowledge Base.Por favor, visite el siguiente Microsoft Malware la página Web del Centro de Protección para las últimas informaciones sobre Win32/Conficker.b:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Compruebe que el sistema está limpio
Verifique que los siguientes servicios se inician:
• Actualizaciones automáticas (wuauserv)
• Servicio de transferencia inteligente en segundo plano (BITS)
• Windows Defender (windefend) (si procede)
• Servicio Informe de errores de Windows
ello, escriba los siguientes comandos en el símbolo. Presione ENTRAR después de cada comando:

Sc.exe consulta wuauserv
Sc.exe consulta bits
Sc.exe consulta windefend
Sc.exe consulta ersvc

Después de cada comando se ejecuta, recibirá un mensaje similar al siguiente:
SERVICE_NAME: wuauserv
TYPE : 20 WIN32_SHARE_PROCESS TIPO: 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING ESTADO: 4 FUNCIONAMIENTO
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN) (STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0×0) WIN32_EXIT_CODE: 0 (0×0)
SERVICE_EXIT_CODE : 0 (0×0) SERVICE_EXIT_CODE: 0 (0×0)
CHECKPOINT : 0×0 El CHECKPOINT: 0×0
WAIT_HINT : 0×0 WAIT_HINT: 0×0
In this example, “STATE : 4 RUNNING” indicates that the service is running. En este ejemplo, “ESTADO: 4 DE FUNCIONAMIENTO” indica que el servicio se está ejecutando.

Para comprobar el estado de la SvcHost subclave del Registro, siga estos pasos:
1. En el Editor del Registro, busque y haga clic en la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ SvcHost
2. En el panel de detalles, haga doble clic en netsvcs y, a continuación, los nombres de servicios de revisión que se enumeran. Desplázate hasta la parte inferior de la lista. Si el equipo está reinfectados con Conficker.b, una al azar el nombre del servicio será incluidoPor ejemplo, en este procedimiento, el nombre del servicio es de malware “gzqmiijz”.
Si estos pasos no resuelven el problema, póngase en contacto con su proveedor de software antivirus. Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
49500 (http://support.microsoft.com/kb/49500/) Lista de proveedores de software antivirus
Si no tiene un proveedor de software antivirus, o su proveedor de software antivirus no pueden ayudar, póngase en contacto con Microsoft Consumidores de Servicios de Apoyo para obtener más ayuda.

Después de que el entorno es completamente limpiada
Después de que el medio ambiente es totalmente limpia, haga lo siguiente:
• . Volver a habilitar el servicio Servidor.
• Restaurar los permisos predeterminados de la SVCHOST clave del Registro.
• Actualizar el ordenador mediante la instalación de actualizaciones de seguridad que falten. Para ello, utilice Windows Update, Microsoft Windows Server Update Services (WSUS) servidor, Systems Management Server (SMS), System Center Configuration Manager (SCCM), o su actualización de terceros la gestión de producto. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio Servidor. En caso contrario, SMS o SCCM puede ser incapaz de actualizar el sistema.

________________________________________
Se refiere a:
• V Windows Server 2008 Datacenter sin Hyper-V
• V Empresa de Windows Server 2008 Hyper-V sin
• Windows Server 2008 para sistemas basados en Itanium
• V Windows Server 2008 Standard sin Hyper-V
• Windows Server 2008 Datacenter
• Enterprise Windows Server 2008 Empresa
• Windows Server 2008 Standard
• Windows Server 2008
• : Windows Vista Service Pack 1, cuando se utiliza con:
o Windows Vista Business Windows Vista Business
o Windows Vista Enterprise Windows Vista Enterprise
o Windows Vista Home Basic Windows Vista Home Basic
o Windows Vista Home Premium Windows Vista Home Premium
o Windows Vista Starter Windows Vista Starter
o Windows Vista Ultimate Windows Vista Ultimate
o Windows Vista Enterprise 64-bit Edition Windows Vista Enterprise 64-bit edition
o Windows Vista Home Basic 64-bit Edition Windows Vista Home Basic 64-bit edition
o Windows Vista Home Premium 64-bit Edition Windows Vista Home Premium 64-bit edition
o Windows Vista Ultimate 64-bit Edition Windows Vista Ultimate 64-bit edition
o Windows Vista Business 64-bit Edition Windows Vista Business 64-bit Edition
• Microsoft Windows Server 2003 Service Pack 1, when used with: Microsoft Windows Server 2003 Service Pack 1, cuando se utiliza con:
o Microsoft Windows Server 2003, Standard Edition (32-bit x86) Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) De Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition Microsoft Windows Server 2003 Web Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems Microsoft Windows Server 2003 Datacenter Edition para sistemas basados en Itanium
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems Microsoft Windows Server 2003, Enterprise Edition para sistemas basados en Itanium
• Microsoft Windows Server 2003, Datacenter x64 Edition Microsoft Windows Server 2003 Datacenter x64 Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Windows Server 2003, Standard x64 Edition Microsoft Windows Server 2003, Standard x64 Edition
• Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 Service Pack 2, when used with: Microsoft Windows Server 2003 Service Pack 2, cuando se utiliza con:
o Microsoft Windows Server 2003, Standard Edition (32-bit x86) Microsoft Windows Server 2003, Standard Edition (32-bit x86)
o Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) De Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
o Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)
o Microsoft Windows Server 2003, Web Edition Microsoft Windows Server 2003 Web Edition
o Microsoft Windows Server 2003, Datacenter x64 Edition Microsoft Windows Server 2003 Datacenter x64 Edition
o Microsoft Windows Server 2003, Enterprise x64 Edition Microsoft Windows Server 2003, Enterprise x64 Edition
o Microsoft Windows Server 2003, Standard x64 Edition Microsoft Windows Server 2003, Standard x64 Edition
o Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Professional x64 Edition
o Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems Microsoft Windows Server 2003 Datacenter Edition para sistemas basados en Itanium
o Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems Microsoft Windows Server 2003, Enterprise Edition para sistemas basados en Itanium
• Microsoft Windows XP Service Pack 2, when used with: Microsoft Windows XP Service Pack 2, cuando se utiliza con:
o Microsoft Windows XP Home Edition Microsoft Windows XP Home Edition
o Microsoft Windows XP Professional Microsoft Windows XP Professional
• Microsoft Windows XP Service Pack 3, when used with: Microsoft Windows XP Service Pack 3, cuando se utiliza con:
o Microsoft Windows XP Home Edition Microsoft Windows XP Home Edition
o Microsoft Windows XP Professional Microsoft Windows XP Professional
• Microsoft Windows 2000 Service Pack 4, when used with: Microsoft Windows 2000 Service Pack 4, cuando se utiliza con:
o Microsoft Windows 2000 Advanced Server Microsoft Windows 2000 Advanced Server
o Microsoft Windows 2000 Datacenter Server Microsoft Windows 2000 Datacenter Server
o Microsoft Windows 2000 Professional Edition Microsoft Windows 2000 Professional Edition
o Microsoft Windows 2000 Server Microsoft Windows 2000 Server

Fuente: taringa.net