Conficker.A - W32/Conficker.A.worm quitar virus, desinfectar, eliminar.

Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información

Portada

Foro Ayuda

Tutoriales

Programas

Blog Tecnología

Drivers

Videos

Conficker.A - W32/Conficker.A.worm

Nombre común: Conficker.A
Nombre técnico: W32/Conficker.A.worm
Peligrosidad: Baja
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar el falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección: 22/11/2008
Detección actualizada: 27/11/2008
Estadísticas Si
Descripción Breve
Conficker.A es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Mediante la explotación de esta vulnerabilidad, Conficker.A consigue descargar el falso antimalware detectado como Adware/AntiVirus2009 en el ordenador afectado.

Conficker.A se propaga explotando la vulnerabilidad MS08-067. Para ello, ataca ciertas direcciones IP en las que intenta introducir una copia de sí mismo.

Efectos
Conficker.A está diseñado para descargar un falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Metodo de Infección
Conficker.A crea una DLL (Librería de Enlace Dinámico) de nombre aleatorio en el directorio de sistema de Windows.

Conficker.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ netsvcs\ Parameters
ServiceDll = %sysdir%\%nombre aleatorio%.dll
dondee %sysdir% es el directorio de sistema de Windows.
Método de Propagación
Conficker.A se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:

Se conecta a las siguientes páginas web para obtener direcciones IP:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Después, escanea las direcciones IP que ha recopilado en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.
Otros Detalles

Conficker.A tiene un tamaño de 62976 Bytes y está comprimido mediante UPX.

Además, intenta descargarse los archivos GEOIP.DAT.GZ y GEOIP.DAT de la siguiente página web:

http://www.maxmind.com

Estos archivos no son maliciosos, sino que se trata de un programa que localiza direcciones IP en el mundo. Conficker.A utiliza este programa para obtener información del punto geográfico de las direcciones IP a las que ataca.

Descargar Symantec W32.Downadup Removal Tool 1.1.0.1 para detectar y eliminar el virus Conficker.

Enviado con fecha: 05-12-2008 17:01:47 - Visto: 15831 veces.

Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.

Foro Virus