Como saber si se está infectado
Cuando downdandup (alias conficker) infecta un equipo ejecuta los siguientes pasos:
copia el siguiente fichero %System% \[Nombre del fichero aleatorio].dll
Borra los puntos de restauración creados por el usuario
Crea el servicio netsvcs tal y como sigue:
Nombre: netsvcs
%SystemRoot%\\system32\\svchost.exe -k netsvcs
Crea la siguiente clave en el registro
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
Valor: “ServiceDll” = “[PathToWorm]“
El gusano se conecta a las siguientes URL y así consiguen tu direccion IP
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Descarga un fichero de la siguiente URL:
http://trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]
Dentro del ordenador infectado, el gusano downandup crea un servidor http, es decir, nuestro ordenador se convierte en un servidor web, en un puerto aleatorio
http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]
Se conecta con otros equipos remotos enviando la direccion que hemos visto en el punto anterior, por lo que consigue que este ordenador se convierta en un nuevo emisor del gusano, infectando otros ordenadores.
El router se conecta a algún router UPnP para abrir el puerto http que permitirá, a continuación, encontrar nuestra tarjeta de red y abrir el puerto aleatorio que se creó anteriormente, dejando una puerta abierta a nuestra red a cualquier atacante.
El gusano intenta descargar un archivos de datos desde la URL:
[http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]
Una vez llegados a este punto, el gusano downandup se propaga, explotando la vulnerabilidad del Servidor de Servicio de Microsoft Windows.
Siguendo con la obra de ingeniería, contacta con las URL siguientes para capturar la fecha:
http://www.w3.org
http://www.ask.com
http://www.msn.com
http://www.yahoo.com
http://www.google.com
http://www.baidu.com
Y utiliza la información resultante para generar una lista de nombres de dominios usados por el atacante para instalar y descargar ficheros adicionales de control en el ordenador atacado.
Una obra de ingenería, ¿no creeis?
Como borrar el gusano Downandup
En caso de que, como hemos dicho, no haya borrado los puntos de restauracion, pruebe a usar la “Restauracion del Sistema” con lo que eliminará el virus volviendo al ultimo punto de restauracion válido de la configuracion del Windows.
En caso de que no pueda volver a un punto de restauracion anterior, desactive temporalmente la Restauracion del Sistema y siga los siguientes pasos para eliminar el gusano Downandup
Inicio > Ejecutar
Escriba: services.msc y pulse Aceptar
Busque el servicio con el nombre “netsvcs” y deténgalo
Cambie el “Tipo de Inicio” a Manual (por defecto, sale como automático)
Reinicie el equipo en Modo seguro o Modo a prueba de fallos
Con un antivirus actualizado, busque todas las copias del virus en su ordenador
En caso de que el antivirus no pueda reparar o borrar los ficheros, abra el administrador de tareas de windows y, en la pestaña de Procesos, busque el archivo infectado que está siendo ejecutado y deténgalo.
Editar el registro
buscar y eliminar la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
Eliminar archivos temporales
Actualizar el software con el parche de Microsoft
MS08-067Reiniciar el ordenador
Volver a pasar el antivirus para comprobar que todo está correcto.
Como evitar ser infectados por Downandup
Como siempre, estos virus hacen su trabajo debido a la relajación por parte del usuario a la hora de proteger su equipo. Como ya hemos dicho, un buen antivirus, así como tener actualizado el sistema operativo, son los mejores consejos. Además: proteger con contraseñas fuertes las carpetas compartidas, sobre todo en windows Vista y windows XP y escanear los dipositivos extraibles antes de insertarlos en el ordenadores.
Como es conocido el downandup en internet
WORM_DOWNAD.A (Trend Micro)
W32/Confick-A (Sophos)
W32/Conficker.A.worm (Panda Security)
Trj/Downloader.VAU (Panda Security)
W32/Conficker.worm (McAfee)
W32.Downadup (Symantec)
Trojan.Downloader-59911 (ClamAV)
Downadup.AL (F-Secure)
Worm:W32/Downadup.AA (F-Secure)
Win32/Conficker.A (Computer Associates)
W32/Downldr2.EXAE (Authentium)
Trojan.Downloader.JLIW (Bit Defender)
Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
Net-Worm.Win32.Kido.t (Kaspersky)
W32/Downadup (PerAntivirus)
Trojan/Downloader.Agent.aqfw (Hacksoft)
W32/DownAdup (Hacksoft)
TrojanDownloader.Agent.aqfw (Quick Heal)
Win32/Conficker.A (ESET)
Worm.Win32.Conficker!IK (Emsisoft)
TR/Dldr.Agent.aqfw (AVIRA)
Trojan.DownLoad.16849 (Doctor Web)
Downloader.Agent.APKO (AVG)
W32/Conficker.A!worm (Fortinet)
Trojan.Win32.Downloader.62976.AJ (Hauri)
Win32/Conficker.worm.62976 (Ahn Lab)
Trojan.Disken.B (VirusBuster)
Trojan.Downloader.JLIW (G DATA)
Worm.Win32.Conficker (Ikarus)
Worm:Win32/Conficker.A (Microsoft)
Trojan-Downloader.Agent (PC Tools)
Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda))
Fuente:
http://www.protegeme.es/antivirus/downandup-como-eliminarlo
