Cómo eliminar Conficker de una empresa o dominio

Hace más de una semana (casi dos) que nos afectó Conficker en la empresa donde trabajo. Al que no lo conozca, se trata del gusano más complejo y con la propagación más efectiva de los últimos tiempos que ataca (como es costumbre) a los Sistemas Operativos de Microsoft, empresa que ofreció la módica suma de u$s 250.000 a quién ofreciese información de los creadores de tan efectivo virus informático.

Primero y principal, quiero dejar en claro que como Administrador de Sistemas me tocó de cerca combatirlo y he sido testigo de la propagación efectiva y agobiante que tiene. Segundo, aunque en mi blog la mayoría de las entradas hablen de Linux, me pareció una buena idea compartir con aquellos afectados los métodos que he puesto en práctica en la empresa para eliminarlo de forma efectiva.

Para ello deberemos disponer de las siguientes herramientas: 

Antivirus actualizado a la fecha 
Si disponen de un Antivirus local en cada una de las estaciones, les recomiendo usar uno con capacidad Administrativa de Gestión, con lo cual podremos hacer escaneos programados, diarios o semanales, agrupar equipos de acuerdo a sus funciones, o inclusive notificarnos a una cuenta de correo cada vez que un equipo presente una infección. En nuestra empresa disponemos de Symantec Corporativo, con lo que mediante una consola de Administración resulta más organizado mantener los equipos actualizados y resulta más fácil el control de las estaciones de trabajo y Servidores. 

Parche de Microsoft KB958644 
Éste parche fue especialmente diseñado para corregir la vulnerabilidad de Windows que ataca  específicamente Conficker. Viene para la mayoría de versiones de los recientes Sistemas Operativos Windows. Pueden leer sus características (y también descargarlo) en el boletín de Microsoft en éste enlace. 

Última Herramienta de eliminación de software malintencionado de Microsoft (MRT) 
Disponer de ésta herramienta nos ayudará a escanear aquellos equipos que tengan la infección. Mensualmente Microsoft actualiza la base de datos de ella con las últimas infecciones/gusanos. Es siempre recomendable hacer el chequeo con la última versión disponible. La pueden descargar desde éste enlace. 

Paciencia 
En mi caso, tuve que lidiar con más de 200 equipos, con lo cual no sabía de donde provenía la infección. Lo que quiero recalcar es que es en vano desesperar, ya que si seguimos los pasos que recomiendo, lo podremos quitar tranquilamente.

Cómo limpiar un equipo infectado con Conficker
Cuando una infección del tipo Conficker se presente en uno de nuestros equipos, los análisis, chequeos y "cura" hay que realizarlos con el equipo fuera de la red, ya que de ésta forma podremos hacer una efectiva limpieza del mismo y puesta en marcha nuevamente en nuestro dominio.

El primer paso es actualizar el Antivirus, hacer un escaneo completo del equipo, eliminando temporales varios y los de Internet de los usuarios que hacen uso del equipo. Luego, instalamos el Parche de Microsoft del cual hice referencia más arriba. Terminado ésto, analizaremos el equipo mediante la MRT, la cual eliminará el virus de existir. Una vez reiniciado el equipo, constatamos nuevamente con la herramienta MRT si la infección fue subsanada, y si es así podremos ya colocar el equipo nuevamente en nuestra red empresarial o dominio.

Es importante a tener en cuenta que una vez que el equipo haya sido desinfectado, con su Antivirus actualizado, el parche instalado, analizado con la herramienta MRT y sin rastros de Conficker, si otro equipo intenta infectarlo nuevamente, el Antivirus más el parche de MS harán el trabajo de detenerlo sin problemas.

Lo importante siempre en éstos casos es armarse con un plan de lucha contra el virus. El objetivo es a medida que avanzamos con la limpieza, "cerrarle" todas las posibilidades al gusano de expansión. De ésta forma, ni bien intente infectar un equipo que ya fue analizado como antes mencione y con el parche y Antivirus actualizado, éste no tendrá alternativas de propagación. 

Luego de que hayamos analizado todos los equipos, deberemos seguir con lo que llamo yo una "guardia de cenizas", de tal manera que si algún equipo no ha sido analizado, no tiene su Antivirus actualizado o no se le ha instalado el parche de MS, lo hagamos inmediatamente.

En conclusión, me he dado cuenta con mi experiencia en combatir ésta infección que en un ambiente empresarial donde por ejemplo los usuarios traen sus Pendrives y los conectan muchas veces sin previo aviso a los administradores, la infección está latente. Siempre es recomendable tener las herramientas para evitarla, con un buen Antivirus actualizado en todos los equipos y con los últimos parches críticos que recomienda Microsoft.

Espero que les haya servido. Aunque escriba de Linux, ésto también es compartir. No quiero que otro Administrador de Sistemas sufra lo que yo :(
3 comentarios

Entradas populares de este blog

Botones capacitivos no vibran o encienden en Samsung S6

PARTE I: Instalar OCS Inventory NG (Server) en Ubuntu Linux 14.04 LTS

Enviar mensaje masivo a PCs con Windows en un Dominio