Sobre la nueva versión 1.4 del USB445 contra el Conficker

Dado que diariamente tenemos incidencias con el Conficker, muchas veces por conectar ordenadores portátiles infectados a una RED  a pesar de que está esté bien actualizada de parches y de antivirus, pero con contraseñas administrativas débiles, y recordamos que este virus va probando contraseñas hasta que la encuentra, y ésta la “aprende” y ataca con ella directamente el resto de la red.

Pero las otras dos maneras de propagación que persisten pese a las veces que lo hemos repetido es la de que algun ordenador no está protegido con el ELIPEN, y por introducción de un pendrive infectado, se infecta éste y empieza la propagación a los demás vía comparticiones administrativas. A este efecto recordamos que con paswords alfanuméricos combinados con minúsculas y mayúsculas, se evita la propagación por dicho medio.

Y la última, la que nos motiva el presente artículo, es la de la falta de parche MS08-067, necesario tanto en en Windows XP, como Vista y Windows 2000 y 2003, por lo cual una de las funciones que tiene el USB445 es la de cerrar el port de intrusión TCP445, y asi poder descargar los parches sin que de los servidores de internet infectados, se infecten de nuevo los ordenadores, incluso los que no lo están…

Pero en la práctica, los técnicos reparadores nos han indicado que cuando  lanzan el USB445 no saben si requiere actualización de parches o no, especialmente del MS08-067 que hizo Microsoft para evitar la entrada del Conficker, razón por la cual nos han ido pidiendo que además del ELITRIIP y del ELISTARA, asi como del SPROCES, en los que ya se detecta si no hay dicho parche instalado, se pudiera disponer de la misma información en el USB445.EXE, y asi ahorrar mucho tiempo en no tener que lanzar un windowsupdate innecesario.

Pues bien, en la versión 1.4 del USB445 hemos implementado esta información en la utilidad, de modo que podremos saber, al lanzarlo, si además el ordenador requiere un windowsupdate o ya podemos pasar directamente a reiniciar en MODO SEGURO y lanzar el escaneo con el antivirus instalado, el cual (al menos con el MCAfee) de esta forma elimina sin problemas dicho virus, tal como indicamos en la información de la Noticia del 13 de Enero del pasado año, fecha desde la que el Conficker ha dejado de ser un problema para nuestros usuarios.

Tambien aprovechamos para recordar que para mayor rapidez y facilidad de detección de los ordenadores infectados, disponemos de la utilidad COMPROBADOR.EXE que nos resuelve en pocos segundos la duda de si un ordenador está o no infectado, aunque este malware sea un ROOTKIT que dificulte su detección.

Con lo indicado se facilita aun mas la detección/eliminación del Conficker, virus que ha infectado varios millones de ordenadores, y sigue infectando …

Para mayor información, ver el Boletín que hicimos inicialmente al respecto :  http://mcaf.ee/56427

Ante cualquier duda o necesidad de aclaración, rogamos nos consulten.

saludos

ms, 23-9-2010