"La educación no es una caridad es una inversión y es la mejor herramienta para erradicar la pobreza de nuestro pais". Shakira


Downandup: qué es? comó eliminarlo?

Publicado por fjukja 10.4.09

Downandup, que es, como se contagia, que daños puede hacer y como eliminarlo. El gusano conficker (a.k.a Downandup) es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada. El virus convierte nuestro ordenador en un servidor de internet con muchas puertas abiertas.

Downandup vuelve a cobrar fuerza después de que ya lo anunciaramos el pasado 28 de Noviembre, y es que Downandup aprovecha el gusano conficker para infectar a los ordenadores.

Además, el gusano conficker es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada, por lo que si aun no está infectado, le recomendamos se haga con un antivirus totalmente actualizado. Como siempre la infección suele realizarse aprovechando las vulnerabilidades del sistema operativo Microsoft y a pesar de que la empresa de Redmon ha sacado ya el parche correspondiente para bloquear esta vulnerabilidad (Octubre MS08-067(+)), aun hoy en dia son muchos los equipos susceptibles de ser infectados, sobre todo porque el parche de seguridad no impide la propagación del mismo.

Las formas de infección mas frecuentes son:

  • A través de la vulnerabilidad de windows
  • Carpetas con contenido compartido con contraseñas débiles
  • Dipositivos extraibles (discos duros, lápices USB, tarjetas de memoria fotográfica) que contengan un fichero autorun.inf (ojo, no todos los ficheros autorun.inf son virus) que copia el gusano en el ordenador del dispositivo conectado.

Como saber si se está infectado

Cuando downdandup (alias conficker) infecta un equipo ejecuta los siguientes pasos:

  1. copia el siguiente fichero %System% \[Nombre del fichero aleatorio].dll
  2. Borra los puntos de restauración creados por el usuario
  3. Crea el servicio netsvcs tal y como sigue:
    • Nombre: netsvcs
    • %SystemRoot%\\system32\\svchost.exe -k netsvcs
  4. Crea la siguiente clave en el registro
    • Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
    • Valor: “ServiceDll” = “[PathToWorm]“
  5. El gusano se conecta a las siguientes URL y así consiguen tu direccion IP
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://checkip.dyndns.org
  6. Descarga un fichero de la siguiente URL:
    • http://trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]
  7. Dentro del ordenador infectado, el gusano downandup crea un servidor http, es decir, nuestro ordenador se convierte en un servidor web, en un puerto aleatorio
    • http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]
  8. Se conecta con otros equipos remotos enviando la direccion que hemos visto en el punto anterior, por lo que consigue que este ordenador se convierta en un nuevo emisor del gusano, infectando otros ordenadores.
  9. El router se conecta a algún router UPnP para abrir el puerto http que permitirá, a continuación, encontrar nuestra tarjeta de red y abrir el puerto aleatorio que se creó anteriormente, dejando una puerta abierta a nuestra red a cualquier atacante.
  10. El gusano intenta descargar un archivos de datos desde la URL:
    • [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]
  11. Una vez llegados a este punto, el gusano downandup se propaga, explotando la vulnerabilidad del Servidor de Servicio de Microsoft Windows.
  12. Siguendo con la obra de ingeniería, contacta con las URL siguientes para capturar la fecha:
    • http://www.w3.org
    • http://www.ask.com
    • http://www.msn.com
    • http://www.yahoo.com
    • http://www.google.com
    • http://www.baidu.com
  13. Y utiliza la información resultante para generar una lista de nombres de dominios usados por el atacante para instalar y descargar ficheros adicionales de control en el ordenador atacado.

Una obra de ingenería, ¿no creeis?

Como borrar el gusano Downandup

En caso de que, como hemos dicho, no haya borrado los puntos de restauracion, pruebe a usar la “Restauracion del Sistema” con lo que eliminará el virus volviendo al ultimo punto de restauracion válido de la configuracion del Windows.

En caso de que no pueda volver a un punto de restauracion anterior, desactive temporalmente la Restauracion del Sistema y siga los siguientes pasos para eliminar el gusano Downandup

  1. Inicio > Ejecutar
  2. Escriba: services.msc y pulse Aceptar
  3. Busque el servicio con el nombre “netsvcs” y deténgalo
  4. Cambie el “Tipo de Inicio” a Manual (por defecto, sale como automático)
  5. Reinicie el equipo en Modo seguro o Modo a prueba de fallos
  6. Con un antivirus actualizado, busque todas las copias del virus en su ordenador
  7. En caso de que el antivirus no pueda reparar o borrar los ficheros, abra el administrador de tareas de windows y, en la pestaña de Procesos, busque el archivo infectado que está siendo ejecutado y deténgalo.
  8. Editar el registro
    • buscar y eliminar la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
  9. Eliminar archivos temporales
  10. Actualizar el software con el parche de Microsoft MS08-067(+)
  11. Reiniciar el ordenador
  12. Volver a pasar el antivirus para comprobar que todo está correcto.

Como evitar ser infectados por Downandup

Como siempre, estos virus hacen su trabajo debido a la relajación por parte del usuario a la hora de proteger su equipo. Como ya hemos dicho, un buen antivirus, así como tener actualizado el sistema operativo, son los mejores consejos. Además: proteger con contraseñas fuertes las carpetas compartidas, sobre todo en windows Vista y windows XP y escanear los dipositivos extraibles antes de insertarlos en el ordenadores.

Como es conocido el downandup en internet

  • WORM_DOWNAD.A (Trend Micro)
  • W32/Confick-A (Sophos)
  • W32/Conficker.A.worm (Panda Security)
  • Trj/Downloader.VAU (Panda Security)
  • W32/Conficker.worm (McAfee)
  • W32.Downadup (Symantec)
  • Trojan.Downloader-59911 (ClamAV)
  • Downadup.AL (F-Secure)
  • Worm:W32/Downadup.AA (F-Secure)
  • Win32/Conficker.A (Computer Associates)
  • W32/Downldr2.EXAE (Authentium)
  • Trojan.Downloader.JLIW (Bit Defender)
  • Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
  • Net-Worm.Win32.Kido.t (Kaspersky)
  • W32/Downadup (PerAntivirus)
  • Trojan/Downloader.Agent.aqfw (Hacksoft)
  • W32/DownAdup (Hacksoft)
  • TrojanDownloader.Agent.aqfw (Quick Heal)
  • Win32/Conficker.A (ESET)
  • Worm.Win32.Conficker!IK (Emsisoft)
  • TR/Dldr.Agent.aqfw (AVIRA)
  • Trojan.DownLoad.16849 (Doctor Web)
  • Downloader.Agent.APKO (AVG)
  • W32/Conficker.A!worm (Fortinet)
  • Trojan.Win32.Downloader.62976.AJ (Hauri)
  • Win32/Conficker.worm.62976 (Ahn Lab)
  • Trojan.Disken.B (VirusBuster)
  • Trojan.Downloader.JLIW (G DATA)
  • Worm.Win32.Conficker (Ikarus)
  • Worm:Win32/Conficker.A (Microsoft)
  • Trojan-Downloader.Agent (PC Tools)
  • Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda))
protegeme.es