Ir al contenido principal

Cómo eliminar Conficker de una empresa o dominio

Hace más de una semana (casi dos) que nos afectó Conficker en la empresa donde trabajo. Al que no lo conozca, se trata del gusano más complejo y con la propagación más efectiva de los últimos tiempos que ataca (como es costumbre) a los Sistemas Operativos de Microsoft, empresa que ofreció la módica suma de u$s 250.000 a quién ofreciese información de los creadores de tan efectivo virus informático.

Primero y principal, quiero dejar en claro que como Administrador de Sistemas me tocó de cerca combatirlo y he sido testigo de la propagación efectiva y agobiante que tiene. Segundo, aunque en mi blog la mayoría de las entradas hablen de Linux, me pareció una buena idea compartir con aquellos afectados los métodos que he puesto en práctica en la empresa para eliminarlo de forma efectiva.

Para ello deberemos disponer de las siguientes herramientas: 

Antivirus actualizado a la fecha 
Si disponen de un Antivirus local en cada una de las estaciones, les recomiendo usar uno con capacidad Administrativa de Gestión, con lo cual podremos hacer escaneos programados, diarios o semanales, agrupar equipos de acuerdo a sus funciones, o inclusive notificarnos a una cuenta de correo cada vez que un equipo presente una infección. En nuestra empresa disponemos de Symantec Corporativo, con lo que mediante una consola de Administración resulta más organizado mantener los equipos actualizados y resulta más fácil el control de las estaciones de trabajo y Servidores. 

Parche de Microsoft KB958644 
Éste parche fue especialmente diseñado para corregir la vulnerabilidad de Windows que ataca  específicamente Conficker. Viene para la mayoría de versiones de los recientes Sistemas Operativos Windows. Pueden leer sus características (y también descargarlo) en el boletín de Microsoft en éste enlace. 

Última Herramienta de eliminación de software malintencionado de Microsoft (MRT) 
Disponer de ésta herramienta nos ayudará a escanear aquellos equipos que tengan la infección. Mensualmente Microsoft actualiza la base de datos de ella con las últimas infecciones/gusanos. Es siempre recomendable hacer el chequeo con la última versión disponible. La pueden descargar desde éste enlace. 

Paciencia 
En mi caso, tuve que lidiar con más de 200 equipos, con lo cual no sabía de donde provenía la infección. Lo que quiero recalcar es que es en vano desesperar, ya que si seguimos los pasos que recomiendo, lo podremos quitar tranquilamente.

Cómo limpiar un equipo infectado con Conficker
Cuando una infección del tipo Conficker se presente en uno de nuestros equipos, los análisis, chequeos y "cura" hay que realizarlos con el equipo fuera de la red, ya que de ésta forma podremos hacer una efectiva limpieza del mismo y puesta en marcha nuevamente en nuestro dominio.

El primer paso es actualizar el Antivirus, hacer un escaneo completo del equipo, eliminando temporales varios y los de Internet de los usuarios que hacen uso del equipo. Luego, instalamos el Parche de Microsoft del cual hice referencia más arriba. Terminado ésto, analizaremos el equipo mediante la MRT, la cual eliminará el virus de existir. Una vez reiniciado el equipo, constatamos nuevamente con la herramienta MRT si la infección fue subsanada, y si es así podremos ya colocar el equipo nuevamente en nuestra red empresarial o dominio.

Es importante a tener en cuenta que una vez que el equipo haya sido desinfectado, con su Antivirus actualizado, el parche instalado, analizado con la herramienta MRT y sin rastros de Conficker, si otro equipo intenta infectarlo nuevamente, el Antivirus más el parche de MS harán el trabajo de detenerlo sin problemas.

Lo importante siempre en éstos casos es armarse con un plan de lucha contra el virus. El objetivo es a medida que avanzamos con la limpieza, "cerrarle" todas las posibilidades al gusano de expansión. De ésta forma, ni bien intente infectar un equipo que ya fue analizado como antes mencione y con el parche y Antivirus actualizado, éste no tendrá alternativas de propagación. 

Luego de que hayamos analizado todos los equipos, deberemos seguir con lo que llamo yo una "guardia de cenizas", de tal manera que si algún equipo no ha sido analizado, no tiene su Antivirus actualizado o no se le ha instalado el parche de MS, lo hagamos inmediatamente.

En conclusión, me he dado cuenta con mi experiencia en combatir ésta infección que en un ambiente empresarial donde por ejemplo los usuarios traen sus Pendrives y los conectan muchas veces sin previo aviso a los administradores, la infección está latente. Siempre es recomendable tener las herramientas para evitarla, con un buen Antivirus actualizado en todos los equipos y con los últimos parches críticos que recomienda Microsoft.

Espero que les haya servido. Aunque escriba de Linux, ésto también es compartir. No quiero que otro Administrador de Sistemas sufra lo que yo :(
3 comentarios

Entradas populares de este blog

Botones capacitivos no vibran o encienden en Samsung S6

Si tienes el problema en que de la noche a la mañana por culpa de algún duende, tus botones capacitivos de tu Samsung S6 (botón Atrás y botón Aplicaciones recientes) funcionan pero no encienden ni vibran, aquí la solución paliativa.

El problema es un bug reconocido por la comunidad de Android, que aún (al día de la fecha) en Android 5.1.1 no ha sido resuelto. Se trata de un problema al activar el Ahorro de Energía, que de forma correcta deshabilita la vibración y luminosidad de las teclas capacitivas, pero aún desactivandolo siguen deshabilitadas.


Cuando tus botones capacitivos no respondan como deben (me resultan útiles que vibren o se enciendan), debemos:
Entra en el Ahorro de Energía.En "Iniciar ahorro de energía", selecciona "Inmediatamente".Apaga el Ahorro de energía.(Si quieres) Vuelve a encenderlo y configuralo con un porcentaje a gusto. Los botones capacitivos ahora funcionarán.Quizás, en una próxima actualización de Android Lollipop solucionen este pequeño bu…

PARTE I: Instalar OCS Inventory NG (Server) en Ubuntu Linux 14.04 LTS

Muchos conocerán los beneficios y funcionalidades que nos provee OCS Inventory. Es por eso que si has llegado hasta aquí, daré por sentado que ya conoces qué se puede hacer con este increíble Software.

Tomé la decisión de hacer un pequeño tutorial de instalación de OCS Inventory NG en su versión Server sobre Ubuntu Linux 14.04 LTS originado por varios motivos: mi exitosa experiencia utilizado e implementando ésta solución, la Wiki del proyecto no está actualizada "al día", y (lo más importante) porque existe mucha documentación fragmentada en la Web, en idioma francés, italiano, y con mucha información algo incompleta.

Nota 1: Asumo que dispones de conocimientos básicos de Ubuntu, Apache y Mysql. Ante una duda, deja un comentario, o bien indaga en la Web. No duele ;D

Nota 2: Este instructivo esta basado en la versión de OCS Inventory NG version 2.2 al día de la fecha de publicación.

Nota 3: configura tu Ubuntu con una IP estática/fija.

Requisitos de paquetería

Actualiza Ubuntu a …

Enviar mensaje masivo a PCs con Windows en un Dominio

En la oficina estábamos tratando de optimizar el proceso de reinicio de un Servicio indispensable para gran parte de los usuarios de la empresa, pero sin caer en el viejo y obsoleto método del correo o la llamada telefónica. La duda era, ¿cómo les notificamos de forma fácil que debíamos reiniciar el Servicio?

Era indispensable que los usuarios cerrasen sus Apps que se conectaban a dicho "demonio", para así tener la tranquilidad de que esos programas no quedasen "frizados" y evitar el maremoto de llamadas y reclamos para luego matar uno a uno dicho proceso de forma remota.

En Windows, el comando que debemos usar es msg.exe, no disponible en Windows XP, pero si para Windows Vista y posteriores.

Primero, necesitábamos listar aquellos equipos que tenían la App dependiente de dicho Servicio, armar un listado con ellas y así ejecutar el comando msg en función a ese listado. Para ello, acudimos a nuestro System Center Configuration Manager, y mediante un Reporte, listamos…