Todo comienza en Octubre de 2008 donde microsoft presenta un parche catalogado como

MS08-067

Y documentado :

Fue el jueves pasado cuando Microsoft lanzó la actualización crítica para sistemas Windows que tal y como dicen en la página oficial: “La vulnerabilidad permite la ejecución remota de código si un usuario recibe una solicitud RPC especialmente diseñada en un sistema afectado.”

Versiones afectadas Windows 2000, XP , Windows Server 2003

Descargas:(Local)

WindowsXP-KB958644-x86-ESN.exe

WindowsServer2003.WindowsXP-KB958644-x64-ESN.exe

WindowsServer2003.WindowsXP-KB958644-x64-ENU.exe

WindowsServer2003-KB958644-x86-ESN.exe

Web Microsoft: http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Debido a este fallo de seguridad empiezan a aparecer las primeras versiones de Conficker que aprovechan este fallo para atacar nuestro sistema, posteriores versiones

modifican su forma de propagacion ya sea usb, red …

A tener en cuenta el conficker.b con los siguentes sintomas.

• Políticas de bloqueo de cuentas que se estén activando de manera anormal
• Controladores de dominio que estén siendo sobrecargados con solicitudes
• Congestión en la red
• Aplicaciones cliente que se comporten más lento de lo normal
• Algunos servicios son deshabilitados o no funcionan, tales como:
  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services
• Los usuarios infectados no podrán conectarse a sitios web que contengan cadenas como:
  • virus
  • spyware
  • malware
  • rootkit
  • defender
  • microsoft
  • symantec
  • mcafee
  • trendmicro
  • y otros más

Solucion propupuesta por microsoft

http://support.microsoft.com/kb/962007

Establezca la directiva de forma que se eliminen los permisos de escritura de la subclave de registro siguiente:

De esta forma, se evita que el servicio de malware nombrado aleatoriamente se cree con el valor de Registro netsvcs.

Para ello, siga estos pasos:

1. Abra la Consola de administración de directivas de grupo (GPMC).
2. Cree un nuevo GPO. Asígnele el nombre que desee.
3. Abra el nuevo GPO y, a continuación, desplácese a la carpeta siguiente:
   Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro
4. Haga clic con el botón secundario en Registro y, después, haga clic en Agregar clave.
5. En el cuadro de diálogo Seleccionar clave de registro, amplíe el Equipo y desplácese hasta la siguiente carpeta:
   Software\Microsoft\Windows NT\CurrentVersion\Svchost
6. Haga clic en Aceptar.
7. En el cuadro de diálogo que aparece, haga clic en la casilla de verificación Control total para desactivarla tanto para los Administradores como para el Sistema.
8. Haga clic en Aceptar.
9. En el cuadro de diálogo Agregar objeto, haga clic en Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
10. Haga clic en Aceptar.

Herramientas para eliminacion

LOCAL:

Symantec D.exe

F-Secure f-downadup.zip

BitDefender dcleaner.zip

• W32.Downadup Removal Tool (Symantec)
• Worm:W32/Downadup.AL Removal Tool (F-Secure)
• Downadup Removal Tool (Bitdefender)
• Algunos antivirus como NOD32 de ESET, Kaspersky o Norton lo detectan y lo eliminan facilmente.