Alerta de virus acerca del gusano Win32/Conficker

Seleccione idioma Seleccione idioma
Id. de artículo: 962007 - Ver los productos a los que se aplica este artículo
El soporte técnico para Windows Vista Service Pack 1 (SP1) finalizó el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de estar ejecutando Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte esta página web de Microsoft: Finaliza el soporte técnico para algunas versiones de Windows.
Expandir todo | Contraer todo

En esta página

Resumen

La información de este artículo de Knowledge Base está dirigida a entornos empresariales con administradores de sistemas que pueden implementar los detalles de este artículo. No hay ningún motivo para usar este artículo si el programa antivirus está limpiando correctamente el virus y sus sistemas están totalmente actualizados. Para confirmar que el sistema está limpio del virus Conficker, realice un análisis rápido en la siguiente página web: http://www.microsoft.com/security/scanner/es-es/ Para obtener información detallada acerca del virus Conficker, visite la siguiente página web de Microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fConficker

Síntomas de la infección

Si su equipo está infectado con este gusano, es posible que no experimente síntoma alguno o bien, puede presentarse cualquiera de los siguientes:
  • Se han desactivado las directivas de bloqueo de cuenta.
  • Se han deshabilitado las actualizaciones automáticas, los servicios de informe de errores, el Servicio de transferencia inteligente en segundo plano (BITS) y Windows Defender.
  • Los controladores de dominio responden con lentitud a las solicitudes del cliente.
  • La red está saturada.
  • No se puede obtener acceso a diversos sitios Web relacionados con la seguridad.
  • No se ejecutarán algunas herramientas relacionadas con la seguridad. Para obtener una lista de herramientas conocidas, visite la siguiente página web de Microsoft y, a continuación, haga clic en la pestaña Analysis para obtener información sobre Win32/Conficker.D. Para obtener más información, visite la siguiente página web de Microsoft:
    http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.D
Para obtener más información acerca del gusano Win32/Conficker, visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft):
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Métodos de propagación

Win32/Conficker presenta varios métodos de propagación. Entre los que se incluyen:
  • La explotación de la vulnerabilidad revisada por la actualización de seguridad 958644 (MS08-067)
  • El uso de recursos compartidos de red
  • El uso de la función Reproducción automática
Por lo tanto, debe tener cuidado al limpiar una red para que la amenaza no vuelva a introducirse en los sistemas que ya se han desinfectado.

Nota La variante Win32/Conficker.D no se propaga a unidades extraíbles ni a carpetas compartidas en una red. Win32/Conficker.D se instala por variantes anteriores de Win32/Conficker.

Prevención

  • Utilice contraseñas seguras del administrador que sean únicas para todos los equipos.
  • No inicie sesión en equipos utilizando credenciales de administrador de dominio ni credenciales que tengan acceso a todos los equipos.
  • Asegúrese de que se ha aplicado a todos los sistemas las últimas actualizaciones de seguridad.
  • Deshabilite las funciones de Reproducción automática. Para obtener más información, consulte el paso 3 de la sección "Crear un objeto de directivas de grupo".
  • Quite derechos excesivos a recursos compartidos. Esto incluye quitar permisos de escritura al directorio raíz de cualquier recurso compartido.

Pasos de mitigación

Detener la propagación de Win32/Conficker mediante la configuración de directivas de grupo

Notas
  • Importante Asegúrese de que documenta la configuración actual antes de realizar los cambios sugeridos en este artículo.
  • Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, sólo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. También puede seguir los pasos que se indican en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo de Knowledge Base para quitar el malware del sistema de forma manual.
  • Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualización mientras los cambios de permisos recomendados en los pasos siguientes estén activados. Esto incluye, pero no está limitado, a la aplicación de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (Configuration Manager 2007), ya que estos productos dependen de los componentes de Actualizaciones automáticas. Asegúrese de que cambia los permisos a su configuración predeterminada después de limpiar el sistema.
  • Para obtener información sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la sección "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artículo.

Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, según sea necesario en su entorno.

Para ello, siga estos pasos:
  1. Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs.

    Para ello, siga estos pasos:
    1. Abra la Consola de administración de directivas de grupo (GPMC).
    2. Cree un nuevo GPO. Asígnele el nombre que desee.
    3. Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:
      Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro
    4. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.
    5. En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:
      Software\Microsoft\Windows NT\CurrentVersion\Svchost
    6. Haga clic en Aceptar.
    7. En el cuadro de diálogo que aparece, haga clic en la casilla de verificación Control total para desactivarla tanto para los Administradores como para el Sistema.
    8. Haga clic en Aceptar.
    9. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
    10. Haga clic en Aceptar.
  2. Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema.

    Para ello, siga estos pasos:
    1. En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:
      Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos
    2. Haga clic con el botón secundario en Sistema de archivos y, a continuación, en Agregar archivo.
    3. En el cuadro de diálogo Agregar un archivo o carpeta, desplácese hasta la carpeta %windir%\Tareas. Asegúrese de que Tareas está resaltada y que aparece en el cuadro de diálogo Carpeta.
    4. Haga clic en Aceptar.
    5. En el cuadro de diálogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema.
    6. Haga clic en Aceptar.
    7. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
    8. Haga clic en Aceptar.
  3. Deshabilite las funciones de Reproducción automática (Ejecución automática). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproducción automáticas de Windows.

    Nota Para poder deshabilitar correctamente la funcionalidad de la ejecución automática, debe tener instaladas las actualizaciones pertinentes para ello, que variarán en función de la versión de Windows que disponga.
    • Para deshabilitar la funcionalidad en cuestión en Windows Vista o en Windows Server 2008, debe tener instalada la actualización de seguridad 950582 (descrita en el boletín de seguridad MS08-038).
    • Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualización de seguridad 950582, o las actualizaciones 967715 o 953252.
    Para deshabilitar las funciones de Reproducción automática (Ejecución automática), siga estos pasos:
    1. En el mismo GPO que ha creado anteriormente, desplácese a las siguientes carpetas:
      • Para un dominio de Windows Server 2003, desplácese a la siguiente carpeta:
        Configuración del equipo\Plantillas administrativas\Sistema
      • Para un dominio de Windows 2008, desplácese a la siguiente carpeta:
        Configuración del equipo\Plantillas administrativas\Componentes de Windows\Políticas de reproducción automática
    2. Abra la directiva Desactivar reproducción automática.
    3. En el cuadro de diálogo Desactivar reproducción automática, haga clic en Habilitada.
    4. Haga clic en Todas las unidades en el menú desplegable.
    5. Haga clic en Aceptar.
  4. Cierre la Consola de administración de directivas de grupo.
  5. Vincule el GPO creado recientemente con la ubicación en la que desee que se aplique.
  6. Deje pasar el tiempo suficiente para que la configuración de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicación de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas será suficiente. Sin embargo, es posible que se necesite más tiempo en función del entorno.
  7. Después de que se haya propagado la configuración de directivas de grupo, limpie el malware del sistema.

    Para ello, siga estos pasos:
    1. Ejecute análisis de antivirus completos en todo el equipo.
    2. En caso de que el software antivirus no detecte el virus Conficker, puede usar el examen de seguridad de Microsoft para eliminar el malware. Para obtener más información al respecto, visite la siguiente página web de Microsoft: http://www.microsoft.com/security/scanner/es-es/Nota Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo para que desaparezcan por completo los efectos del malware.

Recuperación

Ejecute el examen de seguridad de Microsoft.

El Centro de protección contra malware de Microsoft ha actualizado el examen de seguridad de Microsoft. Se trata de un binario independiente que puede resultar de utilidad para la eliminación de software malintencionado extendido, además de ayudar a eliminar la familia de malware Win32/Conficker.

Nota El examen de seguridad de Microsoft no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real.

Puede descargar el examen de seguridad de Microsoft desde el siguiente sitio web de Microsoft:
http://www.microsoft.com/security/scanner/es-es/

Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) también eliminará esta infección. Esta herramienta está disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a través de los Servicios de soporte técnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente:
http://www.microsoft.com/es-es/windows/enterprise/products-and-technologies/mdop/default.aspx
Si Microsoft Security Essentials o Microsoft Forefront Client Security se están ejecutando en el sistema, estos programas bloquearán también la amenaza antes de que se instale.

Pasos para eliminar el virus Win32/Conficker de forma manual

Notas
  • Estos pasos manuales ya no se requieren y sólo deberían utilizarse si no dispone de ningún software antivirus para quitar el virus Conficker.
  • Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección.
Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema:
  1. Inicie sesión en el sistema con una cuenta local.

    Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. Especialmente, no inicie sesión con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesión y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague.
  2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método.

    Nota El servicio del servidor sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta aún más evidente en los servidores de producción, ya que este paso afectará a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor.

    Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
    1. En función del sistema que utilice, realice lo siguiente:
      • En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.
      • En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
    2. Haga doble clic en Servidor.
    3. Haga clic en Detener.
    4. Seleccione Deshabilitado en el cuadro Tipo de inicio.
    5. Haga clic en Aplicar.
  3. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema.
  4. Detenga el servicio Programador de tareas.
    • Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.
    • Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.

      Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
      322756 Cómo realizar una copia de seguridad y restaurar el Registro en Windows
      1. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y haga clic en regedit.exe en la lista Programas.
      2. Busque la siguiente subclave del Registro y haga clic en ella:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
      3. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuación, haga clic en Modificar.
      4. En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.
      5. Cierre el Editor del Registro y reinicie el equipo.

        Nota El servicio Programador de tareas sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectará a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor.
  5. Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspx
    Nota Es posible que este sitio esté bloqueado debido a una infección de malware. En ese caso, debe descargar la actualización desde un equipo que no esté infectado y transferir a continuación el archivo de actualización al sistema infectado. Se recomienda que grabe la actualización en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la única forma de copiar la actualización en el sistema infectado sea mediante una unidad de memoria USB extraíble. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualización en una unidad extraíble, asegúrese de establecer la unidad en modo de sólo lectura, siempre que esta opción esté disponible para el dispositivo. Si este modo está disponible, normalmente se habilita mediante un modificador físico que se encuentra en el dispositivo. A continuación, una vez copiado el archivo de actualización en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extraíble. Si es así, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extraíble esté conectada al equipo.
  6. Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:
    http://technet.microsoft.com/es-es/library/cc875814.aspx
  7. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  8. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar.
  9. Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio.

    Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes más recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legítimo. Si el nombre de servicio aleatorio no está en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no está infectado.

    Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso.
  10. Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.

    Notas sobre la tabla Servicios
    • Todas las entradas de la tabla Servicios son entradas válidas, excepto para los elementos que están resaltados en negrita.
    • Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST.
    • Es posible que no sea una lista completa de servicios, dependiendo de lo que esté instalado en el sistema.
    • La tabla Servicios procede de una instalación predeterminada de Windows.
    • La entrada que agrega el virus Win32/Conficker a la lista es una técnica de confusión. En la entrada malintencionada resaltada la primera letra parece ser una "L" minúscula. Sin embargo, en realidad es una "I" mayúscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayúscula se parece a una "l" minúscula.

    Tabla Servicios

    Contraer esta tablaAmpliar esta tabla
    Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
    AeLookupSvcAeLookupSvcAppMgmt6to4EventSystem
    wercplsupportwercplsupportAudioSrvAppMgmtIas
    TemasTemasExploradorAudioSrvIprip
    CertPropSvcCertPropSvcCryptSvcExploradorIrmon
    SCPolicySvcSCPolicySvcDMServerCryptSvcNetman
    lanmanserverlanmanserverEventSystemDMServerNwsapagent
    gpsvcgpsvcHidServDHCPRasauto
    IKEEXTIKEEXTIasERSvcIaslogon
    AudioSrvAudioSrvIpripEventSystemRasman
    FastUserSwitchingCompatibilityFastUserSwitchingCompatibilityIrmonFastUserSwitchingCompatibilityRemoteaccess
    IasIasLanmanServerHidServSENS
    IrmonIrmonLanmanWorkstationIasSharedaccess
    NlaNlaMessengerIpripNtmssvc
    NtmssvcNtmssvcNetmanIrmonwzcsvc
    NWCWorkstationNWCWorkstationNlaLanmanServer
    NwsapagentNwsapagentNtmssvcLanmanWorkstation
    RasautoRasautoNWCWorkstationMessenger
    RasmanRasmanNwsapagentNetman
    IaslogonIaslogonIaslogonIaslogon
    RemoteaccessRemoteaccessRasautoNla
    SENSSENSRasmanNtmssvc
    SharedaccessSharedaccessRemoteaccessNWCWorkstation
    SRServiceSRServiceSacsvrNwsapagent
    TapisrvTapisrvScheduleRasauto
    WmiWmiSeclogonRasman
    WmdmPmSpWmdmPmSpSENSRemoteaccess
    TermServiceTermServiceSharedaccessSchedule
    wuauservwuauservTemasSeclogon
    BITSBITSTrkWksSENS
    ShellHWDetectionShellHWDetectionTrkSvrSharedaccess
    LogonHoursLogonHoursW32TimeSRService
    PCAuditPCAuditWZCSVCTapisrv
    helpsvchelpsvcWmiTemas
    uploadmgruploadmgrWmdmPmSpTrkWks
    iphlpsvciphlpsvcwinmgmtW32Time
    seclogonseclogonwuauservWZCSVC
    AppInfoAppInfoBITSWmi
    msiscsimsiscsiShellHWDetectionWmdmPmSp
    MMCSSMMCSSuploadmgrwinmgmt
    navegadorProfSvcWmdmPmSNTermService
    winmgmtEapHostxmlprovwuauserv
    SessionEnvwinmgmtAeLookupSvcBITS
    ProfSvcschedulehelpsvcShellHWDetection
    EapHostSessionEnvhelpsvc
    hkmsvcnavegadorxmlprov
    schedulehkmsvcwscsvc
    AppMgmtAppMgmtWmdmPmSN
    sacsvrhkmsvc
  11. En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos:
    1. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName
      Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon
    2. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos.
    3. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.
    4. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación:
      Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..

      Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.
  12. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
    1. Haga doble clic en la entrada "ServiceDll".
    2. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente:
       %SystemRoot%\System32\doieuln.dll
      Cambie el nombre de la referencia para que sea similar a:
       %SystemRoot%\System32\doieuln.old
    3. Haga clic en Aceptar.
  13. Elimine la entrada del servicio de malware de la subclave Run del Registro.
    1. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    2. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada.
    3. Cierre el Editor del Registro y reinicie el equipo.
  14. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. A continuación, se muestra un ejemplo de un archivo Autorun.inf válido normal:
    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).
  15. Elimine cualquier archivo Autorun.inf que no parezca válido.
  16. Reinicie el equipo.
  17. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f
  18. Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
    1. En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente:
      %systemroot%\System32\doieuln.dll
      En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware.
    2. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.
    3. Haga clic en la pestaña Ver.
    4. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.
    5. Haga clic en Aceptar.
  19. Seleccione el archivo .dll.
  20. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos:
    1. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades.
    2. Haga clic en la pestaña Seguridad.
    3. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir.
    4. Haga clic en Aceptar.
  21. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32\doieuln.dll.
  22. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC).
  23. Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos:
    1. En función del sistema que utilice, instale una de las siguientes actualizaciones:
      • Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        967715 Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
      • Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        950582 MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código
      Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b.
    2. Escriba el siguiente comando en el símbolo del sistema:
      reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f
  24. Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:
    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe ?hide"/f
  25. En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:
    netsh interface tcp set global autotuning=normal
Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones:
  • No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf.
  • La actualización de seguridad de MS08-067 no se ha instalado correctamente.
Este malware puede cambiar otros valores de configuración que no se describen en este artículo. Visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) para obtener la información más reciente acerca del gusano Win32/Conficker:
http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Compruebe que el sistema está desinfectado.

Compruebe que se han iniciado los siguientes servicios:
  • Actualizaciones automáticas (wuauserv)
  • Servicio de transferencia inteligente en segundo plano (BITS)
  • Windows Defender (windefend, si procede)
  • Servicio de informe de errores de Windows
Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de cada comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Una vez ejecutados todos los comandos, aparecerá un mensaje similar al siguiente:
NOMBRE_DE_SERVICIO: wuauserv
TIPO : 20 WIN32_SHARE_PROCESS
ESTADO : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
CÓDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)
CÓDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)
PUNTO_DE_CONTROL : 0x0
ESPERA : 0x0
En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se está ejecutando.

Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos:
  1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
  2. En el panel de detalles, haga doble clic en netsvcs y, a continuación, revise los nombres de servicio que aparecen en la lista. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrará un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon".
Si estos pasos no resuelven el problema, póngase en contacto con el proveedor del software antivirus. Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
49500 Lista de proveedores de software antivirus
Si no hay ningún proveedor de software antivirus disponible o éste no puede ayudarle, póngase en contacto con los Servicios de soporte técnico y de asistencia al cliente de Microsoft.

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, siga estos pasos:
  1. Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas.
  2. Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la carpeta Tareas. Debería cambiarse a la configuración predeterminada usando la configuración de directivas de grupo. Si sólo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener más información, consulte la tabla de permisos predeterminados en la sección "Pasos de mitigación".
  3. Actualice el equipo mediante la instalación de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) o un producto de administración de actualizaciones de terceros. Si utiliza SMS o Configuration Manager 2007, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o Configuration Manager 2007 no podrán actualizar el sistema.

Identificación de sistemas infectados

Si tiene problemas para identificar los sistemas que están infectados con Conficker, puede ayudar la información proporcionada en el siguiente blog de TechNet:
http://blogs.technet.com/kfalde/archive/2009/01/28/using-logparser-eventcomb-to-find-malware.aspx

Tabla de permisos predeterminada

En la tabla siguiente se muestran los permisos predeterminados para cada sistema operativo. Estos permisos están activos antes de aplicar los cambios que recomendamos en este artículo. Estos permisos pueden diferir de los permisos establecidos en su entorno. Por tanto, debe anotar la configuración antes de realizar cualquier cambio. Debe hacerlo para poder restaurar la configuración una vez limpio el sistema.
Contraer esta tablaAmpliar esta tabla
Sistema operativo Windows Server 2008Windows VistaWindows Server 2003Windows XPWindows 2000
ConfiguraciónRegistro SvchostCarpeta TareasRegistro SvchostCarpeta TareasRegistro SvchostCarpeta TareasRegistro SvchostCarpeta TareasRegistro SvchostCarpeta Tareas
Cuenta
Administradores (Grupo local)Control totalControl totalControl totalControl totalControl totalControl totalControl totalControl totalControl totalControl total
SistemaControl totalControl totalControl totalControl totalControl totalControl totalControl totalControl totalControl totalControl total
Usuarios avanzados (Grupo local)no aplicableno aplicableno aplicableno aplicableLecturano aplicableLecturano aplicableLecturano aplicable
Usuarios (Grupo local)Especial no aplicableEspecialno aplicableLecturano aplicableLecturano aplicableLecturano aplicable
Se aplica a: Esta clave y subclavesSe aplica a: Esta clave y subclaves
Consultar un valorConsultar un valor
Enumerar las subclavesEnumerar las subclaves
NotificarNotificar
Leer un controlLeer un control
Usuarios autenticadosno aplicableEspecialno aplicableEspecialno aplicableno aplicableno aplicableno aplicableno aplicableno aplicable
Se aplica a: Esta carpeta soloSe aplica a: Esta carpeta solo
Recorrer carpetaRecorrer carpeta
Mostrar carpetaMostrar carpeta
Leer atributosLeer atributos
Leer atributos extendidosLeer atributos extendidos
Crear archivosCrear archivos
Leer permisosLeer permisos
Operadores de copia de seguridad (Grupo local)no aplicableno aplicableno aplicableno aplicableno aplicableEspecialno aplicableEspecial
Se aplica a: Esta carpeta soloSe aplica a: Esta carpeta solo
Recorrer carpetaRecorrer carpeta
Mostrar carpetaMostrar carpeta
Leer atributosLeer atributos
Leer atributos extendidosLeer atributos extendidos
Crear archivosCrear archivos
Leer permisosLeer permisos
Todosno aplicableno aplicableno aplicableno aplicableno aplicableno aplicableno aplicableno aplicableno aplicableEspecial
Se aplica a: Esta carpeta, subcarpetas y archivos
Recorrer carpeta
Mostrar carpeta
Leer atributos
Leer atributos extendidos
Crear archivos
Crear carpetas
Escribir atributos
Escribir atributos extendidos
Leer permisos

Ayuda adicional

  Si desea más ayuda con relación a este problema y se encuentra actualmente en Estados Unidos, puede iniciar un chat con un técnico en Answer Desk: 
Answer Desk
Nota: es un artículo de "PUBLICACIÓN RÁPIDA" creado directamente por la organización de soporte técnico de Microsoft. La información aquí contenida se proporciona como está, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podrían incluir errores tipográficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso para otras consideraciones

Propiedades

Id. de artículo: 962007 - Última revisión: martes, 15 de enero de 2013 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Service Pack 1 para Windows Vista sobre las siguientes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Service Pack 3 para Microsoft Windows XP sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Service Pack 4 de Microsoft Windows 2000 sobre las siguientes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palabras clave: 
kbsccm kbregistry kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB962007

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com