La Corporación de F-Secure publicó una alarma acerca de nuevas versiones del gusano de "Downadup". Este gusano infecta estaciones de trabajo de Windows y servidores, causando varios problemas. Desde el Año Nuevo, F-Secure ha recibido varios informes de redes corporativas infectadas con variantes de este gusano.

F-Secure trabaja de cerca con compañías afectadas así como con CERT para luchar contra la propagación de este gusano.

Downadup (también conocido como Conficker) es una familia grande de gusanos de red, que son excepcionalmente difíciles de quitar y especialmente en caso de una infección interna dentro de una red corporativa.

Qué hacer para evitar la infección:

- Se debe asegurar tener aplicados los últimos parches de Microsoft.

- Se debe asegurar que su organización corre la última versión de su producto de antivirus.

- Cheque que el producto de antivirus tiene las últimas actualizaciones.

- Desactivar AUTORUN y AUTOPLAY.

- Se debe asegurar que las contraseñas de dominio de usuarios son fuertes.

- Tener cuidado especial con las contraseñas de los administradores del dominio.

Qué hacer si su red ya está infectada:

- Verificar el sitio de web de fabricante de su antivirus para las instrucciones de desinfección.

- Desinfección de este gusano es compleja y podría requerir deshabilitar partes de su red.

- Restringir el uso de dispositivos de almacenamiento USB y bloquear el tráfico innecesario en su cortafuego

¿Qué hace el gusano?

Downadup utiliza varios métodos diferentes para esparcirse. Estos incluyen:

- Utilizar la vulnerabilidad en el parche reciente del Windows Server Service, que le permite adivinar las contraseñas de red, e infectar dispositivos USB. Una vez que el malware entra al dentro de una red corporativa, puede ser excepcionalmente difícil de erradicar completamente.

Los problemas típicos engendrados por éste gusano incluyen usuarios de red que se cierran fuera de su cuenta de usuario. Esto sucede porque el gusano trata de adivinar (o la fuerza bruta) contraseñas de red, impidiendo el bloqueo automático del sistema de windows para el cierre de la cuenta generado por intentos fallidos. Una vez que este gusano infecta una máquina, se protege muy agresivamente modificando el registro de inicio del sistema para iniciarse muy temprano y modificando los Derechos de Acceso a los archivos y a las llaves de registro de windows así evitando que el usuario no lo puede eliminar.

El gusano descarga versiones modificadas de sí mismo de una lista larga de sitios web infectados. Los nombres de estos sitios son generados por un algoritmo basado en la fecha y el tiempo actuales. Ya que existen cientos de nombres diferentes de dominio que podrían ser utilizados por éste malware, es difícil para las compañías de seguridad ubicárlos y cerrarlos a tiempo.

La información técnica adicional sobre el malware está disponible en el blog de F-Secure

F-Secure también ha liberado una herramienta libre que puede eliminar versiones conocidas de Downadup. Las Instrucciones debajo muestran los links de descarga para la herramienta ya mencionada y adicionalmente para una herramienta más agresiva de desinfección en caso de que la primera falle, así como instrucciones detalladas e información adicional.

DESINFECCION CON HERRAMIENTA Y PROCEDIMIENTOS

FSMRT (Instrumento de F-Secure para la eliminación del Malware)

Esta herramienta contiene tanto el motor AVP como Hidra y actualizaciones recientes. La herramienta escanea y desinfecta automáticamente. Las variantes sólo conocidas de Downadup son detectadas y limpiadas. Se la puede usar también para la detección y limpieza de otros malwares complicados como es el Feedel.

Ligas de descarga:

ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.zip

ftp://ftp.f-secure.com/anti-virus/tools/beta/fsmrt.jar

F-Downadup (Herramienta especial para limpiar la infección de Downadup)

Esto es básicamente una versión "ligera" de instrumento de FSMRT, tiene sólo motor de Hidra con actualizaciones recientes. Esta herramienta también tiene la capacidad de detectar heurísticamente nuevas variantes del gusano de Downadup. Ya que la herramienta hace uso de los algoritmos heurísticos para encontrar nuevas variantes, la opción de desinfección es deshabilitada por default. Para permitir la desinfección, la línea de comandos debe incluir la opción siguiente: "--disinfect" sin comillas.

IMPORTANTE:
¡El paquete correspondiente de JAR tiene la opción de desinfección habilitada por omisión. Así que la detección y eliminación del gusano es automátcio!

Ligas de descarga:

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.jar

¿Qué debe ser tomado en consideración?

Los parches más recientes de Windows deben ser aplicados antes de (o inmediatamente después de) desinfectar las máquinas. Por lo menos el parche MS08-067 debe ser instalado en cada computadora. También la última actualización de F-Secure Anti-Virus debe ser desplegadas a todas las estaciones de trabajo y servidores desinfectados. Cuando el gusano se activa, bloquea las conexiones tanto a los servidores de actualizaciones de F-Secure como los de Microsoft, con la consecuencia que las actualizaciones de PC resultan desactualizadas.

Las contraseñas de todos los recursos compartidos necesitan ser fuertes. Esto significa por lo menos la longitud de 10 caracteres, incluyendo mayúsculas, minúsculas, números y caracteres especiales como (! §$ % etc.). El cambio de contraseñas es recomendado antes del proceso de desinfección, ya que esto puede prevenir la re-infección de la red entera en caso de que una estación de trabajo conectada esté todavía infectada.

Es recomendado utilizar herramienta de F-Downadup para limpiar las infecciones probables de Downadup. En caso que esta herramienta no lo desinfecte se debe usar la herramienta FSMRT como el próximo paso.

Por favor, lea los archivos readme.txt y eult_eng.pdf incluidos con la herramienta, ya que estos contienen información importante sobre su uso.

Ambas herramientas crean bitácoras en la carpeta WindowsTemp. La información a estas bitácoras es agregada por cada ejecución de estas herramientas. En un caso difícil de contaminación su soportista del producto le puede pedir esta información.:

Se recomienda hacer uso de la opción de la "Desinfectar Automáticamente" del escaneo a tiempo real (OAS) de su producto F-Secure Anti- Virus antes de utilizar las herramientas. Después de la desinfección esta opción le ayudará a prevenir la re-infección de las computadoras ya limpiadas en caso de que se encuentre todavía máquinas infectadas en su red.

Esté enterado que el gusano infecta dispositivos USB y recursos compartidos de red, así que éstos necesitan ser limpiados también. Asegúrese, por favor, de desactivar el Autorun/Autostart de la computadora que será utilizada para limpiar los recursos USB y recursos compartidos de red.

Es altamente recomendado probar las herramientas en unas pocas estaciones de trabajo infectadas antes de su despliegue masivo. Las herramientas fueron probadas por F-Secure en forma extensiva, pero tomando en cuenta la propagación rápida del gusano, se las liberaron en su fase beta. En caso de que Usted tenga problemas con cualquiera de las herramientas favor informar al soporte de F-Secure.

Después de la desinfección es necesario verificar que tanto los servicios de los productos de F-Secure como los servicios críticos de Windows (cortafuegos, actualizando servicio, etc.) se ejecutan apropiadamente. Usted quizás también quiera crear en su sistema un Punto de Restauración justo después de que desinfección.

Los paquetes de herramientas y JARs fueron probados con los siguientes sistemas operativos:

Windows 2000 SP4

Windows XP SP2

Windows Vista (32-bit)