3,5 millones de máquinas Windows infectadas con gusano Downadup

Publicado el 16-1-2009 a las 19:11 por Alexander Schek

El programa malicioso, conocido como Conficker, Downadup, o Kido fue descubierto en octubre del 2008. A pesar del parche liberado por Microsoft, ya hay más de 3,5 millones de computadoras infectadas.

Una vez en tu computador, el gusano busca el archivo ejecutable de Windows llamado "services.exe" y luego pasa a formar parte de dicho código.

Luego se copia en la carpeta del sistema de Windows como un archivo del tipo "dll", se retitula con un nombre de entre 5 y 8 caracteres cómo "piftoc.dll", modifica el registro de Windows para finalmente ejecutar el archivo "dll" infectado como un servicio del sistema.

Una vez que el gusano está instalado, crea un servidor HTTP, borra rastros de su instalación y comienza a bajar programas y archivos de sitios maliciosos.

Pero el Downadup tiene una inteligencia adicional, ya que usa un complicado algoritmo que genera miles de nombres de dominio diferentes cada día, como por ejemplo mphtfrxs.net,imctaef.cc,hcweu.org, etc… pero sólo uno de ellos es válido y es el que realmente usa para conectarse a la nave madre. Esta estrategia hace casi imposible rastrear sus quehaceres.

Según F-Secure, la siguiente lista muestra la cantidad de IPs infectadas a nivel mundial

  • China – 38.277
  • Brasil – 34.814
  • Rusia – 24.526
  • India – 16.497
  • Ukrania – 14.767
  • Italia – 13.115
  • Argentina – 11.675
  • Corea – 11.117
  • Rumania – 8.861
  • EEUU – 3.958
  • Reino Unido – 1,789

Links:
- The Downadup Worm Hits 3.5 Million (InformationWeek)
- Instrucciones y programa para eliminarlo en español (Symantec)
- Más ayuda y programas para eliminarlo en inglés (F-Secure)
- Programas Antivirus gratuitos: AVG FreeAvast!ClamWin (código abierto)

Compartir Compartir
Publicado por Alexander Schek el 16 de January 2009 en la categoría Destacados, Internet, Software con los tags , , , . Tiene 69 comentarios.

69 Comentarios

3,5 millones de máquinas Windows infectadas con gusano Downadup

Deja tu Comentario ↓

Ver Todos Páginas: 1 [2] 3 Próximos 30 Comentarios →

TurboMAC

DesaprobarAprobar5TurboMAC dijo el 16-1-2009 a las 21:49:

31

@Pepe: Ademas de los aplausos, seguro que lo contrato alguna compañia de seguridad y te aseguro que se gano mucho dinero creando al virus.

Ver Comentario... via290 dijo el 16-1-2009 a las 21:53 ...

winjaime

DesaprobarAprobar-3winjaime dijo el 16-1-2009 a las 22:00:

33

no me gustan los virus ni cosas así (aunque los caze y los ponga en un rar con contraseña, ese es otro cuento) pero parece ser muy bueno ese sistema donde genera hartos dominios, bastante ingenioso y podria haberse ocupado para hacer otra cosa en vez de un virus.

yo no me lo he pillado afortunadamente…

Rob

DesaprobarAprobar5Rob dijo el 16-1-2009 a las 22:12:

34

Eso si que es un virus :P

Ver Comentario... Daniel Dario Morales Salas dijo el 16-1-2009 a las 22:29 ...

Otaplin~

DesaprobarAprobar-2Otaplin~ dijo el 16-1-2009 a las 22:45:

36

Los que usan linux y osx es por ke tiene miedito y les da miedo hacerle frente a los virus todos unos mamones XDDDD

Si

DesaprobarAprobar-1Si dijo el 16-1-2009 a las 22:46:

37

q goddes que ignorante eres, mejor no hables antes de pensar…

Marcelo Nuñez A.

DesaprobarAprobar7Marcelo Nuñez A. dijo el 16-1-2009 a las 22:58:

38

No por que no se mencione Chile, significa que no fuimos parte de la “epidemia”
M.A.N.
Tierra del Fuego.

asdasd

DesaprobarAprobar-1asdasd dijo el 16-1-2009 a las 23:13:

39

3.5 millones de “usuarios”

alimento

DesaprobarAprobar1alimento dijo el 16-1-2009 a las 23:34:

40

en chile ya esta….trabajo en una red medianamente (30 pc) y la wea se expande por red…y el nod32 lo detesta , pero solo lo detecta…

chile deber aber un numero pequeño… eso si es un webeo el virus

emov2k4

DesaprobarAprobar3emov2k4 dijo el 16-1-2009 a las 23:48:

41

si si si .. ya esta en chile hace bastante tiempo !!

Carlos

DesaprobarAprobar5Carlos dijo el 17-1-2009 a las 01:09:

42

windows sin virus sería como chile sin un perro

Juan Pablo

DesaprobarAprobar3Juan Pablo dijo el 17-1-2009 a las 01:29:

43

Yo lo tengooo!!! Estaba seguro que lo tenía, se metió a la red de la oficina, ahora lo estoy sacando de mi computador. Como bien posteó asheck, la weá se cambia de nombre o algo, porque corrí al menos 3 antivirus en mi pc y no detectó nada, seguramente porque se aferró a procesos de sistema. Podría decir “AV julero y la con..” pero al parecer no es tan así, este Kido es un dolor de cabeza! La herramienta de F-Secure funciona a la perfección.

UPDATE: Utilicé la herramienta de F-Secure y primero salta el Kaspersky y me avisa del virus, luego puedo elegir la opción de Ignorar o Eliminar, si elijo cualquiera de las dos, se elimina, pero al parecer aún no me puedo sacar el bicho, ya que si ocupo la herramienta de F-Secure de nuevo, el Kasp. vuelve a alertar. Veré que puedo hacer desactivando el Kasp. y que la herramienta se encargue del resto

Juan Pablo

DesaprobarAprobar2Juan Pablo dijo el 17-1-2009 a las 02:13:

44

Uff.. costó pero al parecer se ha ido! Tuve que instalar el parche KB958644 de Microsoft, luego corrí la aplicación de F-Secure dos veces, también probé con la utilidad que publicó Kasp. en http://support.kaspersky.com/faq/?qid=208279973. Al parecer con Windows XP SP3 no se propaga este Worm, pues algunos usuarios han reportado que instalando este SP desaparece el problema, y tampoco MS ofrece Update para dicha versión.

Por ahora ya no lo logro encontrar, espero que se haya ido, pero tampoco estoy seguro que no podré pegármelo de nuevo, cuando vuelva a la oficina.

Saludos, espero que alguien le sirva la información.

Doom

DesaprobarAprobar3Doom dijo el 17-1-2009 a las 04:10:

45

Que bueno que no ha llegado en masa a Chile, parece que lo que eneseñaban en el colegio de que la cordillera es una barrera natural para los virus y esas cosas era verdad ^^

Downadup: 3,5 milioni di PC infettati dal worm

DesaprobarAprobar0Downadup: 3,5 milioni di PC infettati dal worm dijo el 17-1-2009 a las 07:05:

46

[...] Fayerwayer] Segnala questo [...]

miguelwill

DesaprobarAprobar1miguelwill dijo el 17-1-2009 a las 07:49:

47

que bonita forma de infección, me recuerda a algunos virus para DOS que se incrustaban en el código de cualquier archivo ejecutable que fuera cargado o leído en un directorio :P (me toco ver uno echo en chile, que tenia una dedicatoria a la polola del creador del virus :P )

saludos

Jnmx

DesaprobarAprobar2Jnmx dijo el 17-1-2009 a las 09:17:

48

Me gusto el virus lo voi a probar :B
porque soy chileno!

Guillermo

DesaprobarAprobar3Guillermo dijo el 17-1-2009 a las 10:20:

49

En la consola de comandos

Netstat -an

si en estado te aparecen synt_Sent te kago el conficker

actualizas en microsoft.com/latam/seguridad
y listo saludos

Matux

DesaprobarAprobar3Matux dijo el 17-1-2009 a las 11:07:

50

Gracias por hacer la diferencia acotando maquinas W1nd0rz… casi toda la gente cree que solo existe ese S.O.

Carlitros

DesaprobarAprobar3Carlitros dijo el 17-1-2009 a las 14:26:

51

Puedo decir, por experiencia propia, que el que hizo este maldito virus/gusano(?) es un genio.

Tengo este virus en el PC de mi casa desde hace un par de semanas y me ha sido imposible eliminarlo.

He probado con varios software: NOD32, PANDA, Adaware PRO, USB Antivirus, Spybot Search & Destroy hasta probé el que recomienda MR. Chips de open source, etc, etc, etc.

Incluso he formateado el PC varias veces, pero mi problema (al parecer) está en que el virus se metió en el pendrive de mi banda ancha móvil (Entel PCS).

Resumiendo… tengo los siguientes problemas:

- Trato de formatear el pendrive, pero me arroja error al finalizar el proceso.
- Trato de bajar el parche de windows pero el maldito virus me BLOQUEA la URL… ingenioso no?
- Me bloquea distintas URLS, todas relacionadas a sitios de antivirus: microsoft, nod32, kaspersky, panda, norton, symantec, AVG, f-secure, avast.
-Hasta se da el lujo de bloquearme sitios con tutoriales sobre cómo eliminarlo tipo forospyware.
-Logré bajar uno que otro antivirus desde sitios como download.com, pero el problema es que cuando lo instalo, trato de actualizar el antivirus y también me bloquea el acceso al servidor del software.

Estoy a punto de tirar la toalla, no sé qué más hacer.

Alguien ha tenido algún problema similar con su pendrive de Banda Ancha Móvil (Entel PCS)???
Se le podrá exigir a Entel que responda por su producto???

OJO!!!
Les recomiendo a todos NO COMPARTIR información con sus pendrives/USB, está complicado el asunto.
Probablemente me lo contagié en la pega.

Si alguien conoce alguna fórmula milagrosa, por favor que la divulgue… gracias.

=(

Carlitros

DesaprobarAprobar2Carlitros dijo el 17-1-2009 a las 14:39:

52

Lo que dice Guillermo sobre cómo saber si tienes o no a conficker en tu PC, es cierto.

En la columna de “estado” me sale “SYN_SENT”

Me cagó CONFICKER.

Christian Linacre

DesaprobarAprobar2Christian Linacre dijo el 17-1-2009 a las 14:55:

53

Carlitros,
primero desconecta tu PC de la red.
Luego en otro PC, baja el update directamente para la versión del sistema operativo que tienes, los links directos están en el boletín: http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

También en otro PC baja la última versión del MSRT: Malicious Software Removal Tool: http://www.microsoft.com/latam/seguridad/malwareremove/default.mspx

Copia ambos en un pendrive, protegelo contra escritura (típicamente tienen un switch que permite hacer esto) y llevalo al PC infectado. Ahi:
1.- ejecuta el MSRT con un examen completo, esto puede tardar varias horas dependiendo del tamaño del disco
2.- instala la actualización desde el pendrive
3.- vuelve a ejecutar MSRT
4.- verifica que tengas un antivirus activado y ACTUALIZADO con las últimas firmas
5.- conectate a Windows Update: http://update.microsoft.com para bajar cualquier otra actualización que te falte

Si aun así no se limpia, y puedes obtener una muestra del virus, puede mandar la muestra a Microsoft y se te dará un número de tracking de la misma: http://www.microsoft.com/security/portal donde dice Submit Sample.

Espero esto ayude.

saludos, Christian.-

Carlos

DesaprobarAprobar0Carlos dijo el 17-1-2009 a las 15:22:

54

Ahhh
Entonces, si la gente gasta tanto tiempo investigando sobre vivus por qué no hace lo mismo con linux?
Ese tiempo se usaría aprendiendo nuevas cosas.

Me refiero a la gente que PUEDE usar linux, no a los que TIENEN que usar windows.

Carlitros

DesaprobarAprobar1Carlitros dijo el 17-1-2009 a las 15:39:

55

@Christian: Muchas gracias, probaré suerte el lunes.

=)

Gabriel Esteffan

DesaprobarAprobar1Gabriel Esteffan dijo el 17-1-2009 a las 16:16:

56

Estimados, hasta el miércoles cuando había 3,5 millones de infectados (menos de la mitad de los 8,2 milloes actuales), Chile tenía 5.882 computadores infectados.

Acá va el link.
Saludos

Daniel PC

DesaprobarAprobar1Daniel PC dijo el 17-1-2009 a las 17:11:

57

este virus tiene que ver con el “Recycler” ? no puedo borrar este virus, le e pasado 3 antivirus y nada.

Daniel PC Lima Peru.

Felipe

DesaprobarAprobar1Felipe dijo el 17-1-2009 a las 19:56:

58

Por suerte hace un tiempo ya uso Linux como sistema operativo principal, y sólo uso Windows para una que otra cosa pequeña

miguelo

DesaprobarAprobar1miguelo dijo el 17-1-2009 a las 20:20:

59

SP3

Carlos Parra

DesaprobarAprobar1Carlos Parra dijo el 17-1-2009 a las 20:21:

60

toda la cadena de casinos enjoy sufrio la molestia de este virus, causando la caida en sus servidores y generando la molestia de sus clientes al cobrar sus premios.
a los dos dias la mayoria de los equipos ya estaban siendo actualizados por los informaticos de enjoy.

Ver Todos Páginas: 1 [2] 3 Próximos 30 Comentarios →

Deja tu Comentario

XHTML: Puedes usar: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Previsualizar comentario?