enero 29, 2009

Nuevo virus Downadup

Un nuevo gusano infecta a ordenadores en todo el mundo

F-Secure Corporation ha emitido, en su página web, un aviso sobre nuevas versiones del gusano "Downadup". Este gusano infecta los servidores y terminales de trabajo con Windows, causando varios problemas. Desde Año Nuevo, F-Secure ha recibido varios informes de redes corporativas infectadas por variantes de ese gusano.
F-Secure está trabajando en colaboración con las compañías afectadas, así como con varias organizaciones CERT para combatir el brote de este gusano.

“Downadup” (también conocido como “Conficker”) pertenece a una amplia familia de gusanos de red. Estos gusanos son excepcionalmente difíciles de eliminar, especialmente en el caso de una infección interna en el interior de la red de la empresa.

¿Qué hace el gusano?

“Downadup” utiliza varios métodos diferentes para propagarse, entre los que se incluyen aprovechar la vulnerabilidad de Windows Server Service (parcheada recientemente), averiguar las contraseñas de red e infectar las memorias USB. Como resultado, una vez que el malware accede al interior de una red de empresa, puede ser extraordinariamente difícil erradicarlo por completo.

Entre los problemas típicos que causa el gusano está el bloquear el acceso de los usuarios de la red a sus cuentas. Esto se debe a que el gusano intenta averiguar las contraseñas de red (por fuerza bruta), disparando el bloqueo automático del usuario por demasiados intentos fallidos.
Una vez que el gusano infecta una máquina, se protege de forma muy agresiva, programándose para reiniciarse al principio del proceso de arranque del ordenador y configurando los derechos de acceso a los archivos y claves de registro del gusano de modo que el usuario no pueda eliminarlos ni modificarlos.

El gusano descarga versiones modificadas de sí mismo desde una amplia lista de sitios Web. Los nombres de estos sitios Web son generados por un algoritmo basado en la hora y fecha actuales. Puesto que existen cientos de nombres de dominio diferentes que el malware podría utilizar, es complicado para las compañías de seguridad localizar y desactivar todas a tiempo.

Qué hacer para evitar la infección:
  • Asegurarse de haber instalado los últimos parches de Microsoft
  • Asegurarse de que la empresa dispone de la última versión de su producto antivirus.
  • Comprobar que el antivirus tiene las últimas actualizaciones
  • Desactivar AUTORUN y AUTOPLAY para las memorias USB
  • Asegurarse de que las contraseñas de dominio de los usuarios tienen un nivel de seguridad alto
  • Prestar especial atención a las contraseñas de los administradores.
Qué hacer si nuestra red ya está infectada:
  • Consultar el sitio Web de nuestro distribuidor de antivirus en busca de instrucciones de desinfección
  • La desinfección de este gusano es compleja y podría requerir cortes en partes de la red
  • Restringir el uso de memorias y bloquear el tráfico innecesario mediante el cortafuegos.


Hay más información técnica sobre el malware disponible en el blog de F-Secure:

F-Secure ha publicado también una herramienta gratuita capaz de eliminar versiones conocidas de “Downadup”. La herramienta también se puede descargar desde el blog de la compañía.

posted by Euroresidentes at 8:34 AM