Portada

martes, 15 de diciembre de 2009

Como remover el virus Configker

Aunque tal vez no sea solo Para W7, puede ser de interes estos pasos..

¡Hola, mundo! Está siendo atacada su red por Conficker? Están atacando a la toda su red por Conficker? hahaha .. hahaha .. no te enfades este virus puede eliminarse con sólo aplicar algunas de las lineas presentes. no te enfades. De todos modos este virus hace que algunas personas se vuelvan locas, ya que ataca a la red (que podrían tener más problemas cuando tratan de limpiar) y, por supuesto pone a prueba su protección y seguridad:


Esta IP está infectada (o natting para un equipo que está infectado) con la botnet Conficker.

Más información acerca de Conficker se puede obtener de Wikipedia.

Recuerde: Conficker no es una botnet envío de spam. No envía mensajes de correo electrónico o correo no deseado. No utiliza el puerto 25.

Por favor, siga estas instrucciones.
DShield tiene un artículo diario que contiene muchos recursos de terceros, especialmente de herramientas de eliminación como Norton Power Eraser, Stinger, MSRT etc.

Uno de los elementos más importantes es asegurarse de que todos los equipos tienen el parche MS08-067 instalado. Pero incluso con el parche instalado, las máquinas pueden conseguir a infectarse.

Hay varias maneras de identificar las infecciones de Conficker de forma remota. Para un enfoque bastante completo, consulte Sophos.

Si usted tiene los registros del firewall completos encendidos en el momento de la detección, esto puede ser suficiente para encontrar la infección en un NAT:


Si usted no tiene el registro del cortafuegos completo, tal vez usted puede configurar un servidor de seguridad de bloque / registro de todos los accesos (cualquier puerto) a la dirección IP 216.66.15.109 y velar por éxitos.

ADVERTENCIA: NO simplemente bloquear el acceso a a alguna IP en especifico y esperar no estar en la lista de nuevo. Hay muchas dolinas Conficker - algunas se mueven alrededor y aun no sabemos donde están todos. Bloquear el acceso a un solo sumidero no significa que usted ha bloqueado todas las dolinas, por lo relistings son posibles. Usted tiene que controlar sus registros del firewall, identificar la máquina infectada, y repararlos si desea permanecer retirado de la lista.

Las versiones recientes de Nmap pueden detectar Conficker, pero no es fiable al 100% a la búsqueda de todas las infecciones. Nmap está disponible para Linux, xxxBSD, Windows y Mac. Nessus también puede encontrar las infecciones de Conficker de forma remota. Varios otros escáneres están disponibles aquí.

Escáner de Enigma Software es aparentemente bueno para encontrar Conficker A.

Universidad de Bonn tiene una serie de herramientas de exploración / eliminación.

Si usted es incapaz de encontrar la infección, considere:

Si utilizó un escáner de red, asegúrese de que la especificación de red que utilizó para comprobar su red tenía razón, y que entiende cómo interpretar una detección conficker.
Algunos escáneres de red Conficker sólo detectan algunas variedades de Conficker. Por ejemplo, nmap echa de menos algunos. Si no lo encuentra con nmap, probar otros escáneres como McAfee. En otras palabras, intentar por lo menos dos.
¿Seguro de que haya encontrado _todas_ equipos de su red? A veces hay máquinas tranquilamente sentados en habitaciones de atrás en alguna parte que quedó olvidado. Sería una buena idea ejecutar
nmap -sP <TODOS sus especificaciones de red>
que debe enumerar todos sus ordenadores, impresoras y otros dispositivos de red. ¿Has visto a todos los equipos que esperabas ver?
La computadora infectada puede ser apagado en el momento de ejecutar el escaneo o no en la red. Vuelva a comprobar que todo estaba encendido durante la exploración.
Si usted tiene inalámbrico, asegúrese de que está asegurada con WPA o WPA2, y que "los extranjeros" no pueden conectarse. Seguridad WEP no es lo suficientemente bueno.
Muchas versiones de Conficker se propagan a través de thumbdrives / memorias USB infectadas. Cuando se encuentra una máquina infectada, todos los dispositivos asociados a la máquina deben ser considerados sospechosos y destruidas o completamente reformateado.
Conficker también se propaga por recursos compartidos de archivos e impresoras.
Si sólo tiene que quitar la lista sin asegurarse de que se elimina la infección (o la NAT asegurado), es probable que poner en venta de nuevo.

Cómo resolver problemas en el futuro y evitar poner en venta

Norton Power Eraser es una herramienta gratuita y no requiere instalación. Sólo tiene que descargar y ejecutar. Uno de nuestro equipo ha probado la herramienta con Zeus, Ice-X, Ciudadela, ZeroAccess y Cutwail. Era capaz de detectar y limpiar el sistema en cada caso. Probablemente trabaja con muchas otras infecciones.

¿Es esta la dirección IP de una pasarela NAT / firewall / router? En otras palabras, es esta dirección IP compartida con otros equipos? Ver NAT para más información sobre NAT y cómo asegurarlas.

Si esta dirección IP es compartida con otros equipos, sólo el administrador de esta dirección IP puede evitar que esto ocurra de nuevo siguiendo las instrucciones de NAT para fijar el NAT contra futuras infecciones. De esta manera, no importa lo mal infectados la red detrás de la NAT es decir, la red no puede spam Internet. El administrador también puede referirse a la detección avanzada BOT para consejos sobre cómo encontrar el ordenador infectado detrás de un NAT.

¿Qué efecto está teniendo este anuncio en su vida?

El CBL está destinado a ser utilizado únicamente en el correo electrónico entrante de Internet.

Si usted está siendo bloqueado de IRC, Chat, sitios web, interfaces de correo electrónico web (por ejemplo: usted está utilizando Internet Explorer o Firefox para enviar correo electrónico) o de otro tipo que el correo electrónico básico cualquier cosa con un lector de correo, como Exchange, Thunderbird, etc, el proveedor de este servicio está utilizando el CBL contra nuestras recomendaciones. Póngase en contacto con el proveedor y remitirlos a http://cbl.abuseat.org/tandc.html y remitirlos a los puntos 2 y 7.

Si usted es un usuario final: Si usted recibe un popup inmediata indicando su dirección de correo electrónico se bloquea cuando intenta enviar correo electrónico, esto significa una de dos cosas:

No está utilizando la configuración de su proveedor preferido para el envío de correo electrónico. Esto es más frecuente con los usuarios móviles (por ejemplo: usted está usando un café Internet, y está usando su proveedor de origen para enviar correo electrónico). Un proveedor normalmente le dará instrucciones sobre cómo su lector de correo debe autenticarse en sus servidores de correo, tal vez en un puerto diferente (normalmente 587). Asegúrese de que usted cumpla con las instrucciones del proveedor en la configuración del lector electrónico donde se refiere al "servidor de retransmisión SMTP", "Autenticación SMTP", etc.
Si usted está cumpliendo con las instrucciones de su proveedor, su proveedor está violando los Términos y Condiciones CBL y el bloqueo de sus propios usuarios. Comuníquese con su proveedor y remitirlos a http://cbl.abuseat.org/tandc.html y remitirlos al punto 6 y 7.
Si recibe el mensaje de correo electrónico de bloqueo a vuelta de correo electrónico (en lugar de por el emergente inmediato), su proveedor aparece en la CBL, no usted. Póngase en contacto con su proveedor y decirles que su dirección IP está listada por la CBL.

Tenga en cuenta que el CBL no se hace responsable de cómo los proveedores de mal uso de la CBL. Esta es su problema, no el nuestro.

Si su dirección IP cambia periódicamente (por ejemplo, con volver a conectarse a su proveedor, la conexión a través de un café Internet, etc.), esto suele ser una dirección IP dinámica (DHCP), lo que significa que es muy probable que no que está infectado. Como el anterior, asegúrese de que su lector de correo está configurado correctamente según su proveedor. En este caso, exclusión de la lista la dirección IP probablemente no hacer nada útil.

Si el anuncio es de una dirección IP no compartido, y el acceso afectado es el correo electrónico, a continuación, el equipo correspondiente a esta dirección IP en el momento de la detección (ver arriba) está infectado con un robot de spam, o, si se trata de un servidor de correo, en algunos raros casos esto puede ser una mala configuración o error grave.

El primer paso es ejecutar al menos un (preferiblemente más) herramientas anti-spam / spyware de buena reputación en el equipo. Si tienes suerte, uno de ellos será encontrar y eliminar la infección.

Si no puede encontrarlo utilizando herramientas anti-virus, es posible que desee echar un vistazo de cerca a las discusiones de netstat o tcpview en la sección "métodos por equipo" de encontrar los robots en una LAN.

Si lo anterior no funciona, puede que tenga que recurrir a tomar su equipo a un distribuidor de computadoras / empresa de servicio y hacer que limpiarlo.

Si todo lo demás falla, puede que tenga que tener el software de su equipo vuelva a instalar desde cero.


No hay comentarios:

Publicar un comentario