Alerta de virus acerca del gusano Win32/Conficker

Detener la propagación de Win32/Conficker mediante la configuración de directivas de grupo

Notas

• Importante Asegúrese de que documenta la configuración actual antes de realizar los cambios sugeridos en este artículo.

• Este procedimiento no elimina el malware de Conficker del sistema. Con este procedimiento, sólo se evita que dicho malware se propague. Debe usar un antivirus para quitar dicho malware del sistema. También puede seguir los pasos que se indican en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo de Knowledge Base para quitar el malware del sistema de forma manual.
  
  
  
  
  
  
  

• Es posible que no pueda instalar correctamente aplicaciones, Service Packs o cualquier otra actualización mientras los cambios de permisos recomendados en los pasos siguientes estén activados. Esto incluye, pero no está limitado, a la aplicación de actualizaciones usando Windows Update, el servidor Microsoft Windows Server Update Services (WSUS) y el System Center Configuration Manager (Configuration Manager 2007), ya que estos productos dependen de los componentes de Actualizaciones automáticas. Asegúrese de que cambia los permisos a su configuración predeterminada después de limpiar el sistema.

• Para obtener información sobre los permisos predeterminados para la clave del Registro SVCHOST y la carpeta Tareas que se mencionan en la sección "Crear un objeto de directivas de grupo", consulte Tabla de permisos predeterminada al final de este artículo.
  

Crear un objeto de directivas de grupo

Cree un nuevo objeto de directivas de grupo (GPO) que se aplique a todos los equipos pertenecientes a una unidad organizativa (OU) determinada, a un sitio o un dominio, según sea necesario en su entorno.

Para ello, siga estos pasos:

1. Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs.
   
   Para ello, siga estos pasos:
   

   1. Abra la Consola de administración de directivas de grupo (GPMC).

   2. Cree un nuevo GPO. Asígnele el nombre que desee.

   3. Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:

      Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro

   4. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.

   5. En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:

      Software\Microsoft\Windows NT\CurrentVersion\Svchost

   6. Haga clic en Aceptar.

   7. En el cuadro de diálogo que aparece, haga clic en la casilla de verificación Control total para desactivarla tanto para los Administradores como para el Sistema.

   8. Haga clic en Aceptar.

   9. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.

   10. Haga clic en Aceptar.

2. Establezca la directiva de forma que se eliminen los permisos de escritura en la carpeta %windir%\Tareas. De esta forma, se evita que el malware de Conficker cree tareas programadas que puedan volver a infectar el sistema.
   
   Para ello, siga estos pasos:
   

   1. En el mismo GPO que ha creado anteriormente, desplácese hasta la siguiente carpeta:

      Configuración del equipo\Configuración de Windows\Configuración de seguridad\Sistema de archivos

   2. Haga clic con el botón secundario en Sistema de archivos y, a continuación, en Agregar archivo.

   3. En el cuadro de diálogo Agregar un archivo o carpeta, desplácese hasta la carpeta %windir%\Tareas. Asegúrese de que Tareas está resaltada y que aparece en el cuadro de diálogo Carpeta.

   4. Haga clic en Aceptar.

   5. En el cuadro de diálogo que se abre, desactive las casillas Control total, Modificar y Escribir tanto para Administradores como para Sistema.

   6. Haga clic en Aceptar.

   7. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.

   8. Haga clic en Aceptar.

3. Deshabilite las funciones de Reproducción automática (Ejecución automática). De esta forma, se evita que se propague el malware de Conficker mediante las funciones de Reproducción automáticas de Windows.
   
   
   Nota Para poder deshabilitar correctamente la funcionalidad de la ejecución automática, debe tener instaladas las actualizaciones pertinentes para ello, que variarán en función de la versión de Windows que disponga.
   
   

   • Para deshabilitar la funcionalidad en cuestión en Windows Vista o en Windows Server 2008, debe tener instalada la actualización de seguridad 950582 (descrita en el boletín de seguridad MS08-038).

   • Para deshabilitarla en Windows XP, Windows Server 2003 o Windows 2000, debe tener instalada la actualización de seguridad 950582, o las actualizaciones 967715 o 953252.

   
   
   Para deshabilitar las funciones de Reproducción automática (Ejecución automática), siga estos pasos:
   

   1. En el mismo GPO que ha creado anteriormente, desplácese a las siguientes carpetas:
      

      • Para un dominio de Windows Server 2003, desplácese a la siguiente carpeta:

        Configuración del equipo\Plantillas administrativas\Sistema

      • Para un dominio de Windows 2008, desplácese a la siguiente carpeta:

        Configuración del equipo\Plantillas administrativas\Componentes de Windows\Políticas de reproducción automática

   2. Abra la directiva Desactivar reproducción automática.

   3. En el cuadro de diálogo Desactivar reproducción automática, haga clic en Habilitada.

   4. Haga clic en Todas las unidades en el menú desplegable.

   5. Haga clic en Aceptar.

4. Cierre la Consola de administración de directivas de grupo.

5. Vincule el GPO creado recientemente con la ubicación en la que desee que se aplique.

6. Deje pasar el tiempo suficiente para que la configuración de directivas de grupo se actualice en todos los equipos. Por norma general, el proceso de replicación de esta directiva tarda 5 minutos en replicarse en cada controlador del dominio y 90 minutos en replicarse en el resto del sistema. Un par de horas será suficiente. Sin embargo, es posible que se necesite más tiempo en función del entorno.

7. Después de que se haya propagado la configuración de directivas de grupo, limpie el malware del sistema.
   
   Para ello, siga estos pasos:
   

   1. Ejecute análisis de antivirus completos en todo el equipo.

   2. En caso de que el software antivirus no detecte el virus Conficker, puede usar el examen de seguridad de Microsoft para eliminar el malware. Para obtener más información al respecto, visite la siguiente página web de Microsoft: http://www.microsoft.com/security/scanner/es-es/Nota Es posible que tenga que seguir algunos pasos manuales para que desaparezcan por completo los efectos del malware. Le recomendamos que revise los pasos mencionados en la sección "Pasos para eliminar el virus Win32/Conficker de forma manual" de este artículo para que desaparezcan por completo los efectos del malware.

Ejecute el examen de seguridad de Microsoft.

El Centro de protección contra malware de Microsoft ha actualizado el examen de seguridad de Microsoft. Se trata de un binario independiente que puede resultar de utilidad para la eliminación de software malintencionado extendido, además de ayudar a eliminar la familia de malware Win32/Conficker.

Nota El examen de seguridad de Microsoft no evita que se vuelva a infectar porque no es un programa antivirus en tiempo real.

Puede descargar el examen de seguridad de Microsoft desde el siguiente sitio web de Microsoft:

http://www.microsoft.com/security/scanner/es-es/
Nota La herramienta Stand-Alone System Sweeper (Sistema independiente de limpieza) también eliminará esta infección. Esta herramienta está disponible como componente de Microsoft Desktop Optimization Pack 6.0 o a través de los Servicios de soporte técnico y de asistencia al cliente. Para obtener Microsoft Desktop Optimization Pack, visite el sitio web de Microsoft siguiente:

http://www.microsoft.com/es-es/windows/enterprise/products-and-technologies/mdop/default.aspxSi Microsoft Security Essentials o Microsoft Forefront Client Security se están ejecutando en el sistema, estos programas bloquearán también la amenaza antes de que se instale.

Pasos para eliminar el virus Win32/Conficker de forma manual

Notas

• Estos pasos manuales ya no se requieren y sólo deberían utilizarse si no dispone de ningún software antivirus para quitar el virus Conficker.

• Dependiendo de la variante de Win32/Conficker con la que está infectada el equipo, es posible que el virus no haya cambiado algunos de los valores referidos en esta sección.

Los pasos detallados siguientes pueden ayudarle a quitar de forma manual el virus Conficker del sistema:

1. Inicie sesión en el sistema con una cuenta local.
   
   
   Importante Si es posible, no inicie sesión en el sistema con una cuenta de dominio. Especialmente, no inicie sesión con una cuenta de administrador de dominio. El malware suplanta la identidad del usuario que ha iniciado sesión y obtiene acceso a los recursos de red mediante las credenciales de este usuario. Este comportamiento permite que el malware se propague.

2. Detenga el servicio del servidor, lo que permitirá eliminar del sistema los recursos compartidos del administrador e impedirá que el malware se propague mediante este método.
   
   
   Nota El servicio del servidor sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto resulta aún más evidente en los servidores de producción, ya que este paso afectará a la disponibilidad de los recursos de red. En cuanto se haya limpiado el entorno, se puede volver a habilitar el servicio del servidor.
   
   
   Para detener el servicio del Servidor, utilice el complemento Servicios de Microsoft Management Console (MMC). Para ello, siga estos pasos:
   

   1. En función del sistema que utilice, realice lo siguiente:
      

      • En Windows Vista y Windows Server 2008, haga clic en Inicio, escriba services.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en services.msc en la lista Programas.

      • En Windows 2000, Windows XP y Windows Server 2003, haga clic en Inicio, después en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.

   2. Haga doble clic en Servidor.

   3. Haga clic en Detener.

   4. Seleccione Deshabilitado en el cuadro Tipo de inicio.

   5. Haga clic en Aplicar.

3. Elimine todas las tareas programadas creadas mediante AT. Para ello, escriba AT/Delete/Yes en el símbolo del sistema.

4. Detenga el servicio Programador de tareas.
   

   • Para detener el servicio Programador de tareas en Windows 2000, Windows XP y Windows Server 2003, utilice el complemento Servicios de Microsoft Management Console (MMC) o la utilidad SC.exe.

   • Para detener el servicio Programador de tareas en Windows Vista o Windows Server 2008, siga estos pasos.
     
     Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

     322756Cómo realizar una copia de seguridad y restaurar el Registro en Windows

     1. Haga clic en Inicio, escriba regedit en el cuadro Iniciar búsqueda y haga clic en regedit.exe en la lista Programas.

     2. Busque la siguiente subclave del Registro y haga clic en ella:

        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule

     3. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada Start DWORD (Iniciar DWORD) y, a continuación, haga clic en Modificar.

     4. En el cuadro Información del valor, escriba 4 y haga clic en Aceptar.

     5. Cierre el Editor del Registro y reinicie el equipo.
        
        
        
        Nota El servicio Programador de tareas sólo debe deshabilitarse temporalmente mientras limpia el malware del entorno. Esto se aplica especialmente a Windows Vista y Windows Server 2008, porque este paso afectará a diversas Tareas programadas integradas. En cuanto se haya limpiado el entorno, vuelva a habilitar el servicio del servidor.
        

5. Descargue e instale manualmente la actualización de seguridad 958644 (MS08-067). Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:

   http://www.microsoft.com/spain/technet/security/bulletin/MS08-067.mspxNota Es posible que este sitio esté bloqueado debido a una infección de malware. En ese caso, debe descargar la actualización desde un equipo que no esté infectado y transferir a continuación el archivo de actualización al sistema infectado. Se recomienda que grabe la actualización en un CD, ya que este tipo de soporte no permite su escritura una vez grabado y, por lo tanto, no puede infectarse. Si no dispone de una unidad de CD grabable, es posible que la única forma de copiar la actualización en el sistema infectado sea mediante una unidad de memoria USB extraíble. Si utiliza una unidad extraíble, tenga en cuenta que el malware puede infectarla con el archivo Autorun.inf. Una vez copiada la actualización en una unidad extraíble, asegúrese de establecer la unidad en modo de sólo lectura, siempre que esta opción esté disponible para el dispositivo. Si este modo está disponible, normalmente se habilita mediante un modificador físico que se encuentra en el dispositivo. A continuación, una vez copiado el archivo de actualización en el equipo infectado, compruebe si se ha escrito el archivo Autorun.inf en la unidad extraíble. Si es así, cambie el nombre de este archivo por otro similar a Autorun.bad de forma que no se pueda ejecutar cuando la unidad extraíble esté conectada al equipo.

6. Restablezca cualquier contraseña de administrador de dominio y de administrador local para usar una nueva contraseña segura. Para obtener más información al respecto, visite el siguiente sitio Web de Microsoft:

   http://technet.microsoft.com/es-es/library/cc875814.aspx

7. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

8. En el panel de detalles, haga clic con el botón secundario del mouse en la entrada netsvcs y, a continuación, haga clic en Modificar.

9. Si el equipo está infectado con el virus Win32/Conficker, se mostrará un nombre de servicio aleatorio.
   
   
   Nota Con Win32/Conficker.B, el nombre de servicio eran letras aleatorias y se encontraba en la parte inferior de la lista. Con las variantes más recientes, el nombre de servicio puede estar en cualquier lugar de la lista y puede parecer legítimo. Si el nombre de servicio aleatorio no está en la parte inferior, compare su sistema con la "Tabla Servicios" de este procedimiento para determinar el nombre de servicio que ha agregado Win32/Conficker. Para comprobarlo, compare la lista de la "Tabla Servicios" con un sistema similar que se sabe que no está infectado.
   
   
   Anote el nombre del servicio de malware. Necesitará esta información más adelante durante este proceso.

10. Elimine la línea que contiene la referencia al servicio de malware. Asegúrese de dejar un avance de línea en blanco debajo de la última entrada válida que aparece en la lista y, a continuación, haga clic en Aceptar.
    
    
    
    Notas sobre la tabla Servicios

    • Todas las entradas de la tabla Servicios son entradas válidas, excepto para los elementos que están resaltados en negrita.

    • Los elementos resaltados en negrita son ejemplos de lo que puede agregar el virus Win32/Conficker al valor netsvcs en la clave del Registro SVCHOST.

    • Es posible que no sea una lista completa de servicios, dependiendo de lo que esté instalado en el sistema.

    • La tabla Servicios procede de una instalación predeterminada de Windows.

    • La entrada que agrega el virus Win32/Conficker a la lista es una técnica de confusión. En la entrada malintencionada resaltada la primera letra parece ser una "L" minúscula. Sin embargo, en realidad es una "I" mayúscula. Debido a la fuente utilizada por el sistema operativo, la "I" mayúscula se parece a una "l" minúscula.

    Tabla Servicios

    Windows Server 2008	Windows Vista	Windows Server 2003	Windows XP	Windows 2000
    AeLookupSvc	AeLookupSvc	AppMgmt	6to4	EventSystem
    wercplsupport	wercplsupport	AudioSrv	AppMgmt	Ias
    Temas	Temas	Explorador	AudioSrv	Iprip
    CertPropSvc	CertPropSvc	CryptSvc	Explorador	Irmon
    SCPolicySvc	SCPolicySvc	DMServer	CryptSvc	Netman
    lanmanserver	lanmanserver	EventSystem	DMServer	Nwsapagent
    gpsvc	gpsvc	HidServ	DHCP	Rasauto
    IKEEXT	IKEEXT	Ias	ERSvc	Iaslogon
    AudioSrv	AudioSrv	Iprip	EventSystem	Rasman
    FastUserSwitchingCompatibility	FastUserSwitchingCompatibility	Irmon	FastUserSwitchingCompatibility	Remoteaccess
    Ias	Ias	LanmanServer	HidServ	SENS
    Irmon	Irmon	LanmanWorkstation	Ias	Sharedaccess
    Nla	Nla	Messenger	Iprip	Ntmssvc
    Ntmssvc	Ntmssvc	Netman	Irmon	wzcsvc
    NWCWorkstation	NWCWorkstation	Nla	LanmanServer
    Nwsapagent	Nwsapagent	Ntmssvc	LanmanWorkstation
    Rasauto	Rasauto	NWCWorkstation	Messenger
    Rasman	Rasman	Nwsapagent	Netman
    Iaslogon	Iaslogon	Iaslogon	Iaslogon
    Remoteaccess	Remoteaccess	Rasauto	Nla
    SENS	SENS	Rasman	Ntmssvc
    Sharedaccess	Sharedaccess	Remoteaccess	NWCWorkstation
    SRService	SRService	Sacsvr	Nwsapagent
    Tapisrv	Tapisrv	Schedule	Rasauto
    Wmi	Wmi	Seclogon	Rasman
    WmdmPmSp	WmdmPmSp	SENS	Remoteaccess
    TermService	TermService	Sharedaccess	Schedule
    wuauserv	wuauserv	Temas	Seclogon
    BITS	BITS	TrkWks	SENS
    ShellHWDetection	ShellHWDetection	TrkSvr	Sharedaccess
    LogonHours	LogonHours	W32Time	SRService
    PCAudit	PCAudit	WZCSVC	Tapisrv
    helpsvc	helpsvc	Wmi	Temas
    uploadmgr	uploadmgr	WmdmPmSp	TrkWks
    iphlpsvc	iphlpsvc	winmgmt	W32Time
    seclogon	seclogon	wuauserv	WZCSVC
    AppInfo	AppInfo	BITS	Wmi
    msiscsi	msiscsi	ShellHWDetection	WmdmPmSp
    MMCSS	MMCSS	uploadmgr	winmgmt
    navegador	ProfSvc	WmdmPmSN	TermService
    winmgmt	EapHost	xmlprov	wuauserv
    SessionEnv	winmgmt	AeLookupSvc	BITS
    ProfSvc	schedule	helpsvc	ShellHWDetection
    EapHost	SessionEnv		helpsvc
    hkmsvc	navegador		xmlprov
    schedule	hkmsvc		wscsvc
    AppMgmt	AppMgmt		WmdmPmSN
    sacsvr			hkmsvc

11. En un procedimiento anterior, había anotado el nombre del servicio de malware. En este ejemplo, el nombre de la entrada de malware era "Iaslogon". Con esta información, siga estos pasos:
    

    1. En el Editor del Registro, busque la siguiente subclave del Registro y selecciónela, donde BadServiceName es el nombre del servicio de malware:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BadServiceName Por ejemplo, busque la siguiente subclave del Registro y haga clic en ella:

       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iaslogon

    2. Haga clic con el botón secundario del mouse en la subclave que aparece en el panel de exploración del nombre del servicio de malware y, a continuación, haga clic en Permisos.

    3. En el cuadro de diálogo Entrada de permisos para SvcHost, haga clic en Opciones avanzadas.

    4. En el cuadro de diálogo Configuración de seguridad avanzada, haga clic para activar las siguientes casillas de verificación:

       Heredar del objeto primario las entradas de permiso que se aplican a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita..
       
       Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos secundarios.

12. Presione F5 para actualizar el Editor del Registro. En el panel de detalles, podrá ver y editar el archivo DLL de malware que se carga como "ServiceDll". Para ello, siga estos pasos:
    

    1. Haga doble clic en la entrada "ServiceDll".

    2. Anote la ruta de acceso al archivo DLL al que se hace referencia. Necesitará esta información más adelante durante este proceso. Por ejemplo, la ruta de acceso al archivo DLL en cuestión puede parecerse a la siguiente: %SystemRoot%\System32\doieuln.dll Cambie el nombre de la referencia para que sea similar a: %SystemRoot%\System32\doieuln.old

    3. Haga clic en Aceptar.

13. Elimine la entrada del servicio de malware de la subclave Run del Registro.
    

    1. En el Editor del Registro, busque las siguientes subclaves del Registro y selecciónelas:

       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    2. En las dos subclaves, busque cualquier entrada que comience por "rundll32.exe" y que haga referencia al archivo DLL de malware que se carga como "ServiceDll" identificado en el paso 12b. Elimine la entrada.

    3. Cierre el Editor del Registro y reinicie el equipo.

14. Busque archivos Autorun.inf en todas las unidades del sistema. Utilice el Bloc de notas para abrir cada archivo y, a continuación, compruebe que se trata de un archivo Autorun.inf válido. A continuación, se muestra un ejemplo de un archivo Autorun.inf válido normal:
    

    [autorun]
    shellexecute=Servers\splash.hta *DVD*
    icon=Servers\autorun.ico
    

    Un archivo Autorun.inf válido suele tener un tamaño de 1 a 2 kilobytes (KB).

15. Elimine cualquier archivo Autorun.inf que no parezca válido.

16. Reinicie el equipo.

17. Haga visibles los archivos ocultos. Para ello, escriba el comando siguiente en el símbolo del sistema:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f

18. Seleccione Mostrar todos los archivos y carpetas ocultos para poder ver el archivo. Para ello, siga estos pasos:
    

    1. En el paso 12b, ha anotado la ruta de acceso al archivo .dll de malware al que se hace referencia. Por ejemplo, ha observado una ruta similar a la siguiente:

       %systemroot%\System32\doieuln.dll En el Explorador de Windows, abra el directorio %systemroot%\System32 o el directorio que contiene el malware.

    2. Haga clic en Herramientas y, a continuación, en Opciones de carpeta.

    3. Haga clic en la pestaña Ver.

    4. Active la casilla de verificación Mostrar todos los archivos y carpetas ocultos.

    5. Haga clic en Aceptar.

19. Seleccione el archivo .dll.

20. Edite los permisos en el archivo para agregar Control total para Todos. Para ello, siga estos pasos:
    

    1. Haga clic con el botón secundario del mouse en el archivo .dll y, a continuación, haga clic en Propiedades.

    2. Haga clic en la pestaña Seguridad.

    3. Haga clic en Todos y, a continuación, active la casilla de verificación Control total en la columna Permitir.

    4. Haga clic en Aceptar.

21. Elimine el archivo .dll de malware al que se hace referencia. Por ejemplo, elimine el archivo %systemroot%\System32\doieuln.dll.

22. Habilite los servicios de informe de errores, los servicios BITS, las actualizaciones automáticas y Windows Defender mediante el complemento Servicios de Microsoft Management Console (MMC).

23. Desactive la ejecución automática para ayudar a reducir los efectos de una nueva infección. Para ello, siga estos pasos:
    

    1. En función del sistema que utilice, instale una de las siguientes actualizaciones:
       

       • Si está ejecutando Windows 2000, Windows XP o Windows Server 2003, instale la actualización 967715.
         Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
         
         

         967715 Cómo deshabilitar la funcionalidad de la ejecución automática en Windows
         
         

       • Si está ejecutando Windows Vista o Windows Server 2008, instale la actualización 950582.
         Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

         950582MS08-038: Una vulnerabilidad en el Explorador de Windows podría permitir la ejecución remota de código

       Nota La actualización 967715 y la actualización de seguridad 950582 no están relacionadas con este problema de malware. Estas actualizaciones deben instalarse para habilitar la función del Registro en el paso 23b.

    2. Escriba el siguiente comando en el símbolo del sistema:

       reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer/v NoDriveTypeAutoRun/t REG_DWORD/d 0xff/f

24. Si el sistema ejecuta Windows Defender, vuelva a habilitar la ubicación de inicio automático de esta aplicación. Para ello, escriba el siguiente comando en el símbolo del sistema:

    reg.exe add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/v "Windows Defender"/t REG_EXPAND_SZ/d "%ProgramFiles%\Windows Defender\MSASCui.exe –hide"/f

25. En Windows Vista y sistemas operativos posteriores, el malware cambia la configuración global del nivel de ajuste automático de ventana de recepción de TCP a deshabilitado. Para restablecer esta configuración, escriba el siguiente comando en el símbolo del sistema:

    netsh interface tcp set global autotuning=normal

Si una vez completado este procedimiento, observa que el equipo puede haberse infectado de nuevo, es posible que se cumpla una de las siguientes condiciones:

• No se ha eliminado una de las ubicaciones de inicio automático. Por ejemplo, no se ha eliminado el trabajo de AT o un archivo Autorun.inf.

• La actualización de seguridad de MS08-067 no se ha instalado correctamente.

Este malware puede cambiar otros valores de configuración que no se describen en este artículo. Visite la siguiente página web de Microsoft Malware Protection Center (Centro de protección contra malware de Microsoft) para obtener la información más reciente acerca del gusano Win32/Conficker:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Compruebe que el sistema está desinfectado.

Compruebe que se han iniciado los siguientes servicios:

• Actualizaciones automáticas (wuauserv)

• Servicio de transferencia inteligente en segundo plano (BITS)

• Windows Defender (windefend, si procede)

• Servicio de informe de errores de Windows

Para ello, escriba los siguientes comandos en el símbolo del sistema. Presione ENTRAR después de cada comando:

Sc.exe query wuauserv
Sc.exe query bits
Sc.exe query windefend
Sc.exe query ersvc

Una vez ejecutados todos los comandos, aparecerá un mensaje similar al siguiente:

NOMBRE_DE_SERVICIO: wuauserv
TIPO : 20 WIN32_SHARE_PROCESS
ESTADO : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
CÓDIGO_DE_SALIDA_DE_WIN32 : 0 (0x0)
CÓDIGO_DE_SALIDA_DEL_SERVICIO : 0 (0x0)
PUNTO_DE_CONTROL : 0x0
ESPERA : 0x0
En este ejemplo, "STATE : 4 RUNNING" indica que el servicio se está ejecutando.

Para comprobar el estado de la subclave del Registro SvcHost, siga estos pasos:

1. En el Editor del Registro, busque la siguiente subclave del Registro y haga clic en ella:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

2. En el panel de detalles, haga doble clic en netsvcs y, a continuación, revise los nombres de servicio que aparecen en la lista. Desplácese hacia abajo hasta la parte inferior de la lista. Si el equipo se ha vuelto a infectar con Conficker, se mostrará un nombre de servicio aleatorio. Por ejemplo, en este procedimiento, el nombre del servicio de malware es "Iaslogon".

Si estos pasos no resuelven el problema, póngase en contacto con el proveedor del software antivirus.
Para obtener información adicional acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

49500Lista de proveedores de software antivirusSi no hay ningún proveedor de software antivirus disponible o éste no puede ayudarle, póngase en contacto con los Servicios de soporte técnico y de asistencia al cliente de Microsoft.

Una vez que el entorno se haya desinfectado completamente

Una vez que el entorno se haya desinfectado completamente, siga estos pasos:

1. Vuelva a habilitar el servicio del servidor y el servicio Programador de tareas.

2. Restablezca los permisos predeterminados en la clave del Registro SVCHOST y en la carpeta Tareas. Debería cambiarse a la configuración predeterminada usando la configuración de directivas de grupo. Si sólo se elimina una directiva, es posible que los permisos predeterminados no vuelvan a cambiarse. Para obtener más información, consulte la tabla de permisos predeterminados en la sección "Pasos de mitigación".
   
   

3. Actualice el equipo mediante la instalación de las actualizaciones de seguridad que falten. Para ello, utilice Windows Update, el servidor de Microsoft Windows Server Update Services (WSUS), Systems Management Server (SMS), System Center Configuration Manager (Configuration Manager 2007) o un producto de administración de actualizaciones de terceros. Si utiliza SMS o Configuration Manager 2007, primero debe volver a habilitar el servicio del servidor. De lo contrario, SMS o Configuration Manager 2007 no podrán actualizar el sistema.