United States

Change

All Microsoft Sites

Microsoft Support

Id. de artículo: 962007 - Última revisión: lunes, 07 de septiembre de 2009 - Versión: 7.1

Alerta de virus acerca del gusano Win32/Conficker

Ver los productos a los que se aplica este artículo

La información de este artículo de Knowledge Base está dirigida a entornos empresariales con administradores de sistemas que pueden implementar los detalles de este artículo. No hay ningún motivo para usar este artículo si el programa antivirus está limpiando correctamente el virus y sus sistemas están totalmente actualizados. Para confirmar que el sistema está limpio del virus Conficker, realice un análisis rápido en la siguiente página web:

http://onecare.live.com/site/es-es/default.htm (http://onecare.live.com/site/es-es/default.htm)

Para obtener información detallada acerca del virus Conficker, visite la siguiente página web de Microsoft:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker)

Volver al principio

Síntomas de la infección

Si su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:

Se han desactivado las directivas de bloqueo de cuenta.
Se han deshabilitado las actualizaciones automáticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
Los controladores de dominio responden con lentitud a las solicitudes del cliente.
La red está saturada.
No se puede obtener acceso a diversos sitios Web relacionados con la seguridad.
No se ejecutarán algunas herramientas relacionadas con la seguridad. Para obtener una lista de herramientas conocidas, visite la siguiente página web de Microsoft y, a continuación, haga clic en la ficha Analysis para obtener información sobre Win32/Conficker.D. Para obtener más información, visite la siguiente página web de Microsoft:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D (http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D)

Para obtener más información acerca del gusano Win32/Conficker, visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft):

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Volver al principio

Métodos de propagación

Win32/Conficker presenta varios métodos de propagación. Entre los que se incluyen:

La explotación de la vulnerabilidad revisada por la actualización de seguridad 958644 (MS08-067)
El uso de recursos compartidos de red
El uso de la función Reproducción automática

Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado.

Nota La variante Win32/Conficker.D no se propaga a unidades extraíbles ni a carpetas compartidas en una red. Win32/Conficker.D se instala por variantes anteriores de Win32/Conficker.

Volver al principio

Prevención

Utilice contraseñas seguras del administrador que sean únicas para todos los equipos.
No inicie sesión en equipos utilizando credenciales de administrador de dominio ni credenciales que tengan acceso a todos los equipos.
Asegúrese de que se ha aplicado a todos los sistemas las últimas actualizaciones de seguridad.
Deshabilite las funciones de Reproducción automática. Para obtener más información, consulte el paso 3 de la sección "Crear un objeto de directivas de grupo".
Quite derechos excesivos a recursos compartidos. Esto incluye quitar permisos de escritura al directorio raíz de cualquier recurso compartido.

Volver al principio

Pasos de mitigación

Detener la propagación de Win32/Conficker mediante la configuración de directivas de grupo

Notas

Importante Asegúrese de que documenta la configuración actual antes de realizar los cambios sugeridos en este artículo.
Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, sólo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. También puede seguir los pasos que se indican en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo de Knowledge Base para quitar el malware del sistema de forma manual.
Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualización mientras los cambios de permisos recomendados en los pasos siguientes estén activados. Esto incluye, pero no está limitado, a la aplicación de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (SCCM), ya que estos productos dependen de los componentes de Actualizaciones automáticas. Asegúrese de que cambia los permisos a su configuración predeterminada después de limpiar el sistema.
Para obtener información sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la sección "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artículo.

Volver al principio

Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, según sea necesario en su entorno.

Para ello, siga estos pasos:

Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs.

Para ello, siga estos pasos:
1. Abra la Consola de administración de directivas de grupo (GPMC).
2. Cree un nuevo GPO. Asígnele el nombre que desee.
3. Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:
  Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro
4. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.
5. En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:
  Software\Microsoft\Windows NT\CurrentVersion\Svchost
6. Haga clic en Aceptar.
7. En el cuadro de diálogo que aparece, haga clic en la casilla de verificación Control total para desactivarla tanto para los Administradores como para el Sistema.
8. Haga clic en Aceptar.
9. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
10. Haga clic en Aceptar.
Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema.

Para ello, siga estos pasos:
1. En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:
  Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos
2. Haga clic con el botón secundario en Sistema de archivos y, a continuación, en Agregar archivo.
3. En el cuadro de diálogo Agregar un archivo o carpeta, desplácese hasta la carpeta %windir%\Tareas. Asegúrese de que Tareas está resaltada y que aparece en el cuadro de diálogo Carpeta.
4. Haga clic en Aceptar.
5. En el cuadro de diálogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema.
6. Haga clic en Aceptar.
7. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
8. Haga clic en Aceptar.
Deshabilite las funciones de Reproducción automática (Ejecución automática). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproducción automáticas de Windows.

Nota Para poder deshabilitar correctamente la funcionalidad de la ejecución automática, debe tener instaladas las actualizaciones pertinentes para ello, que variarán en función de la versión de Windows que disponga.
- Para deshabilitar la funcionalidad en cuestión en Windows Vista o en Windows Server 2008, debe tener instalada la actualización de seguridad 950582 (http://support.microsoft.com/kb/950582) (descrita en el boletín de seguridad MS08-038).
- Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualización de seguridad 950582 (http://support.microsoft.com/kb/950582) , o las actualizaciones 967715 (http://support.microsoft.com/kb/967715) o 953252 (http://support.microsoft.com/kb/953252) .
Para deshabilitar las funciones de Reproducción automática (Ejecución automática), siga estos pasos:
1. En el mismo GPO que ha creado anteriormente, desplácese a las siguientes carpetas:
  - Para un dominio de Windows Server 2003 domain, desplácese a la siguiente carpeta:
    Configuración del equipo\Plantillas administrativas\Sistma
  - Para un dominio de Windows 2008, desplácese a la siguiente carpeta:
    Configuración del equipo\Plantillas administrativas\Componentes de Windows\Políticas de reproducción automática
2. Abra la directiva Desactivar reproducción automática.
3. En el cuadro de diálogo Desactivar reproducción automática, haga clic en Habilitada.
4. Haga clic en Todas las unidades en el menú desplegable.
5. Haga clic en Aceptar.
Cierre la Consola de administración de directivas de grupo.
Vincule el GPO creado recientemente con la ubicación en la que desee que se aplique.
Deje pasar el tiempo suficiente para que la configuración de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicación de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas será suficiente. Sin embargo, es posible que se necesite más tiempo en función del entorno.
Después de que se haya propagado la configuración de directivas de grupo, limpie el malware del sistema.

Para ello, siga estos pasos:
1. Ejecute análisis de antivirus completos en todo el equipo.
2. En caso de que el software antivirus no detecte Conficker, puede usar la Herramienta de eliminación de software malintencionado (MSRT) para eliminar dicho malware. Para obtener más información al respecto, visite la siguiente página web de Microsoft:
  http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx (http://www.microsoft.com/spain/seguridad/malwareremove/default.mspx)
  Note Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo para que desaparezcan por completo los efectos del malware.

Volver al principio

Recuperación

Ejecute la herramienta Malicious Software Removal (MSRT).

Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) ha actualizado esta herramienta. Se trata de un binario independiente que puede resultar de utilidad para la eliminación de software malintencionado extendido, además de ayudar a eliminar la familia de malware Win32/Conficker.

Nota La herramienta MSRT no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real.

Puede descargar la herramienta MSRT de los siguientes sitios Web de Microsoft:

http://www.update.microsoft.com (http://www.update.microsoft.com)
http://support.microsoft.com/kb/890830 (http://support.microsoft.com/kb/890830)

Para obtener información detallada sobre implementaciones específicas para MSRT, haga clic en el número de artículo siguiente para consultarlo en Microsoft Knowledge Base:

891716 (http://support.microsoft.com/kb/891716/ ) Implantación de la Herramienta de eliminación de software malintencionado de Microsoft Windows en un entorno empresarial

Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) también eliminará esta infección. Esta herramienta está disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a través de los Servicios de soporte técnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente:

http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx (http://www.microsoft.com/windows/enterprise/technologies/mdop.aspx)

Si Windows Live OneCare o Microsoft Forefront Client Security se están ejecutando en el sistema, estos programas bloquearán también la amenaza antes de que se instale.

Volver al principio

Pasos para eliminar el virus Win32/Conficker de forma manual

Notas

Estos pasos manuales ya no se requieren y sólo deberían utilizarse si no dispone de ningún software antivirus para quitar el virus Conficker.
Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección.

Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema:

Inicie sesión en el sistema con una cuenta local.

Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. Especialmente, no inicie sesión con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesión y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague.
Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método.

Nota El servicio del servidor sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta aún más evidente en los servidores de producción, ya que este paso afectará a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor.

Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
1. En función del sistema que utilice, realice lo siguiente:
  - En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.
  - En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
2. Haga doble clic en Servidor.
3. Haga clic en Detener.
4. Seleccione Deshabilitado en el cuadro Tipo de inicio.
5. Haga clic en Aplicar.
Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema.
Detenga el servicio Programador de tareas.
- Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.
- Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.
  
  Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
  322756 (http://support.microsoft.com/kb/322756/ ) Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003
  1. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y haga clic en regedit.exe en la lista Programas.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
  3. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuación, haga clic en Modificar.
  4. En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.
  5. Cierre el Editor del Registro y reinicie el equipo.
    
    Nota El servicio Programador de tareas sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectará a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor.
Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx (http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx)
Nota Es posible que este sitio esté bloqueado debido a una infección de malware. En ese caso, debe descargar la actualización desde un equipo que no esté infectado y transferir a continuación el archivo de actualización al sistema infectado. Se recomienda que grabe la actualización en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la única forma de copiar la actualización en el sistema infectado sea mediante una unidad de memoria USB extraíble. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualización en una unidad extraíble, asegúrese de establecer la unidad en modo de sólo lectura, siempre que esta opción esté disponible para el dispositivo. Si este modo está disponible, normalmente se habilita mediante un modificador físico que se encuentra en el dispositivo. A continuación, una vez copiado el archivo de actualización en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extraíble. Si es así, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extraíble esté conectada al equipo.
Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/es-es/library/cc875814.aspx (http://technet.microsoft.com/es-es/library/cc875814.aspx)
En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar.
Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio.

Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes más recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legítimo. Si el nombre de servicio aleatorio no está en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no está infectado.

Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso.

Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.

Notas sobre la tabla Servicios

Todas las entradas de la tabla Servicios son entradas válidas, excepto para los elementos que están resaltados en negrita.
Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST.
Es posible que no sea una lista completa de servicios, dependiendo de lo que esté instalado en el sistema.
La tabla Servicios procede de una instalación predeterminada de Windows.
La entrada que agrega el virus Win32/Conficker a la lista es una técnica de confusión. En la entrada malintencionada resaltada la primera letra parece ser una "L" minúscula. Sin embargo, en realidad es una "I" mayúscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayúscula se parece a una "l" minúscula.

Tabla Servicios

Contraer esta tablaAmpliar esta tabla

Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
Themes	Themes	Browser	AudioSrv	Iprip
CertPropSvc	CertPropSvc	CryptSvc	Browser	Irmon
SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
gpsvc	gpsvc	HidServ	DHCP	Rasauto
IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
Ias	Ias	LanmanServer	HidServ	SENS
Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
Nla	Nla	Messenger	Iprip	Ntmssvc
Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
NWCWorkstation	NWCWorkstation	Nla	LanmanServer
Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
Rasauto	Rasauto	NWCWorkstation	Messenger
Rasman	Rasman	Nwsapagent	Netman
Iaslogon	Iaslogon	Iaslogon	Iaslogon
Remoteaccess	Remoteaccess	Rasauto	Nla
SENS	SENS	Rasman	Ntmssvc
Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
SRService	SRService	Sacsvr	Nwsapagent
Tapisrv	Tapisrv	Schedule	Rasauto
Wmi	Wmi	Seclogon	Rasman
WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
TermService	TermService	Sharedaccess	Schedule
wuauserv	wuauserv	Themes	Seclogon
BITS	BITS	TrkWks	SENS
ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
LogonHours	LogonHours	W32Time	SRService
PCAudit	PCAudit	WZCSVC	Tapisrv
helpsvc	helpsvc	Wmi	Themes
uploadmgr	uploadmgr	WmdmPmSp	TrkWks
iphlpsvc	iphlpsvc	winmgmt	W32Time
seclogon	seclogon	wuauserv	WZCSVC
AppInfo	AppInfo	BITS	Wmi
msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
MMCSS	MMCSS	uploadmgr	winmgmt
browser	ProfSvc	WmdmPmSN	TermService
winmgmt	EapHost	xmlprov	wuauserv
SessionEnv	winmgmt	AeLookupSvc	BITS
ProfSvc	schedule	helpsvc	ShellHWDetection
EapHost	SessionEnv		helpsvc
hkmsvc	browser		xmlprov
schedule	hkmsvc		wscsvc
AppMgmt	AppMgmt		WmdmPmSN
sacsvr			hkmsvc

En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos:
1. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
  Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
2. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos.
3. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.
4. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación:
  Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..
  
  Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.
Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
1. Haga doble clic en la entrada "ServiceDll".
2. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente:
```
 %SystemRoot%\System32\doieuln.dll
```
  Cambie el nombre de la referencia para que sea similar a:
```
 %SystemRoot%\System32\doieuln.old
```
3. Haga clic en Aceptar.
Elimine la entrada del servicio de malware de la subclave Run del Registro.
1. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada.
3. Cierre el Editor del Registro y reinicie el equipo.
Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. A continuación, se muestra un ejemplo de un archivo Autorun.inf válido normal:
[autorun] shellexecute=Servers\splash.hta *DVD* icon=Servers\autorun.ico
Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).
Elimine cualquier archivo Autorun.inf que no parezca válido.
Reinicie el equipo.
Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
1. En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente:
  %systemroot%\System32\doieuln.dll
  En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware.
2. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.
3. Haga clic en la ficha Ver.
4. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.
5. Haga clic en Aceptar.
Seleccione el archivo .dll.
Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos:
1. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades.
2. Haga clic en la ficha Seguridad.
3. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir.
4. Haga clic en Aceptar.
Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32\doieuln.dll.
Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC).
Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos:
1. En función del sistema que utilice, instale una de las siguientes actualizaciones:
  - Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    967715 (http://support.microsoft.com/kb/967715/ ) Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
  - Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    950582 (http://support.microsoft.com/kb/950582/ ) MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código
  Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b.
2. Escriba el siguiente comando en el símbolo del sistema:
  reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide"/f
En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:
netsh interface tcp set global autotuning=normal

Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones:

No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf.
La actualización de seguridad de MS08-067 no se ha instalado correctamente.

Este malware puede cambiar otros valores de configuración que no se describen en este artículo. Visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) para obtener la información más reciente acerca del gusano Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker (http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker)

Volver al principio

Compruebe que el sistema está desinfectado.

Compruebe que se han iniciado los siguientes servicios:

Actualizaciones automáticas (wuauserv)
Servicio de transferencia inteligente en segundo plano (BITS)
Windows Defender (windefend, si procede)
Servicio de informe de errores de Windows

Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de cada comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Una vez ejecutados todos los comandos, aparecerá un mensaje similar al siguiente:

NOMBRE_DE_SERVICIO: wuauserv
TIPO : 20 WIN32_SHARE_PROCESS
ESTADO : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
CÓDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)
CÓDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)
PUNTO_DE_CONTROL : 0x0
ESPERA : 0x0

En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se está ejecutando.

Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos:

En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
En el panel de detalles, haga doble clic en netsvcs y, a continuación, revise los nombres de servicio que aparecen en la lista. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrará un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon".

Si estos pasos no resuelven el problema, póngase en contacto con el proveedor del software antivirus. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

49500 (http://support.microsoft.com/kb/49500/ ) Lista de proveedores de software antivirus

Si no hay ningún proveedor de software antivirus disponible o éste no puede ayudarle, póngase en contacto con los Servicios de soporte técnico y de asistencia al cliente de Microsoft.

Volver al principio

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, siga estos pasos:

Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas.
Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la carpeta Tareas. Debería cambiarse a la configuración predeterminada usando la configuración de directivas de grupo. Si sólo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener más información, consulte la tabla de permisos predeterminados en la sección "Pasos de mitigación".
Actualice el equipo mediante la instalación de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (SCCM) o un producto de administración de actualizaciones de terceros. Si utiliza SMS o SCCM, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o SCCM no podrá actualizar el sistema.

Volver al principio

Identificación de sistemas infectados

Si tiene problemas para identificar los sistemas que están infectados con Conficker, puede ayudar la información proporcionada en el siguiente blog de TechNet:

http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx (http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx)

Volver al principio

Tabla de permisos predeterminada

En la tabla siguiente se muestran los permisos predeterminados para cada sistema operativo. Estos permisos están activos antes de aplicar los cambios que recomendamos en este artículo. Estos permisos pueden diferir de los permisos establecidos en su entorno. Por tanto, debe anotar la configuración antes de realizar cualquier cambio. Debe hacerlo para poder restaurar la configuración una vez limpio el sistema.

Contraer esta tablaAmpliar esta tabla

Sistema operativo	Windows Server 2008		Windows Vista		Windows Server 2003		Windows XP		Windows 2000
Configuración	Registro Svchost	Carpeta Tareas	Registro Svchost	Carpeta Tareas	Registro Svchost	Carpeta Tareas	Registro Svchost	Carpeta Tareas	Registro Svchost	Carpeta Tareas
Cuenta
Administradores (Grupo local)	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total
Sistema	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total	Control total
Usuarios avanzados (Grupo local)	no aplicable	no aplicable	no aplicable	no aplicable	Lectura	no aplicable	Lectura	no aplicable	Lectura	no aplicable
Usuarios (Grupo local)	Especial	no aplicable	Especial	no aplicable	Lectura	no aplicable	Lectura	no aplicable	Lectura	no aplicable
	Se aplica a: Esta clave y subclaves		Se aplica a: Esta clave y subclaves
	Consultar un valor		Consultar un valor
	Enumerar las subclaves		Enumerar las subclaves
	Notificar		Notificar
	Leer un control		Leer un control
Usuarios autenticados	no aplicable	Especial	no aplicable	Especial	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable
		Se aplica a: Esta carpeta sólo		Se aplica a: Esta carpeta sólo
		Recorrer carpeta		Recorrer carpeta
		Mostrar carpeta		Mostrar carpeta
		Leer atributos		Leer atributos
		Leer atributos extendidos		Leer atributos extendidos
		Crear archivos		Crear archivos
		Leer permisos		Leer permisos
Operadores de copia de seguridad (Grupo local)	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	Especial	no aplicable	Especial
						Se aplica a: Esta carpeta sólo		Se aplica a: Esta carpeta sólo
						Recorrer carpeta		Recorrer carpeta
						Mostrar carpeta		Mostrar carpeta
						Leer atributos		Leer atributos
						Leer atributos extendidos		Leer atributos extendidos
						Crear archivos		Crear archivos
						Leer permisos		Leer permisos
Todos	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	no aplicable	Especial
										Se aplica a: Esta carpeta, subcarpetas y archivos
										Recorrer carpeta
										Mostrar carpeta
										Leer atributos
										Leer atributos extendidos
										Crear archivos
										Crear carpetas
										Escribir atributos
										Escribir atributos extendidos
										Leer permisos