Virus Confiker de nuevo vigente (o nunca se fue…)

  • -

Virus Confiker de nuevo vigente (o nunca se fue…)

Desde que apareció como un próximo Armagedon allá por 2009, la fama de Confiker fue decayendo hasta casi quedar en el olvido. Un virus que amenazaba con distribuirse inexorablemente causando estragos, luego pasó a ser uno más entre tantos. Actualizaciones de Windows, parches creados por Microsoft y finalmente la evolución a nuevas versiones del sistema operativo parecieron dar por terminado el problema. Pero no es así.

Algo así como unos cuantos miles de equipos siguen infectándose con este virus cada día.

Qué es?

Confiker es un virus tipo troyano que una vez instalado en la computadora intenta establecer conexiones dentro de la red, buscando sistemas que no cuenten con las últimas actualizaciones de seguridad, ni un antivirus adecuado o tengan archivos compartidos abiertos, unidades usb o contraseñas no seguras. Encontrado el equipo con alguna de estas condiciones, tambien lo infecta.

Un síntoma  común en un equipo infectado es que no se puede acceder a las webs de fabricantes de antivirus ni páginas de información sobre malware, el antivirus deja de actualizarse y muchos servicios aparecerán como deshabilitados: firewall, centro de seguridad, servicios de red y reconocimiento de equipos… Otro síntoma bastante claro es que, al insertar un pendrive o disco externo usb, entre las opciones provistas por el sistema operativo veamos “Abrir carpeta para ver archivos – editor desconocido“. Esta opción es creada por un archivo autorun.inf generado en el dispositivo usb por Confiker. La opción original de Windows haría referencia a Microsoft, en todo caso, pero no a un editor desconocido.

Además, como el virus recibe instrucciones por la web, una vez dentro de la computadora puede ser usado por los criminales para casi cualquier fin: usar nuestro equipo para enviar spam, robo de contraseñas, suplantación de identidad, descarga de malware o adware, etc.

Por otra parte, cuando dentro de una red local un equipo está infectado, hay que asumir que el resto tambien puede estarlo. Las prácticas de desinfección y limpieza deben ser llevadas a cabo en cada uno de los dispositivos conectados.

Cómo apareció en mi máquina?

Lo dicho: basta que alguien haya insertado un pendrive infectado en algún equipo vulnerable de la red (por ej. una computadora con XP no original al que se le suprimieron las actualizaciones para que no se bloqueara su licencia), para que Confiker se instale y comience a trabajar bombardeando el resto de los equipos buscando una grieta por donde meterse. Además, cualquier archivo que se comparta con ese eqiupo infectado será contagiado y por supuesto cualquier disco externo o pendrive que se le conecte tambien se llevará una copia activa de Confiker con él.

Cómo lo elimino?

Confiker es un virus que se propaga de un modo muy tonto, pero a la vez es sumamente complejo. Ataca al sistema operativo de muchas formas diferentes (crea archivos ejecutables, se pega a servicios propios de Windows, modifica el registro, cambia la configuración de inicio, desactiva y modifica servicios…) y esto hace que intentar una limpieza manual sea casi siempre tiempo perdido infructuosamente.

Recurrir a herramientas desarrolladas específicamente que realizan la tarea en forma automática es una buena solución para empezar. Por ejemplo en http://support.kaspersky.com/sp/viruses/disinfection/1956 van a encontrar un completo instructivo y los links para descargar KidoKiller, de Kaspersky. A propósito, en http://support.kaspersky.com/viruses/utility#kidokiller encontrarán tambien un interesante arsenal para combatir muchas otras infecciones.

Luego de usar KidoKiller, es importante limpiar el equipo con todas las herramientas disponibles: antivirus (Panda, AVG, AVAST), utilizades de detección y limpieza on line (Housecall de TrendMicro, por ejemplo), aplicaciones anti malware (Malwarebytes), limpiar archivos temporales de internet y del sistema (cCleaner)

Luego, si todo salió bien, utilizar la Herramienta de Eliminación de Software (Inicio / Ejecutar , tipear mrt.exe en la ventana emergente y darle enter) luego de haber instalado todas las actualizaciones disponibles para el sistema operativo.

Remplazar finalmente el antivirus utilizado durante el proceso por otro, que tambien sea confiable y seguro. Norton Internet Security es una buena opción, que incorpora una barrera contra ataques MSRPC desde la red (que son el tipo de ataque que envía Confiker desde un equipo infectado buscando nuevas víctimas dentro de la red local). Como además Norton crea un registro con el nombre del equipo atacante, esto puede ayudarnos a identificar otros equipos infectados dentro de nuestra red.

Independientemente de los resultados que pueda darnos Norton, todo este proceso debe repetirse en todos y cada uno de los equipos conectados a la red o muy probablemente el problema se repita en poco tiempo.

Más vale prevenir

Windows XP no original sin actualizar, no tiene salvación. Si no es Confiker será cualquier otro virus, pero está condenado. Si por el motivo que sea no pueden despegarse del XP, asegúrense de tener instaladas todas las actualizaciones que se hayan publicado hasta Abril del 2014.

Pero lo mejor es migrar, por lo menos, a Windows 7. Tambien con todas las actualizaciones disponibles.

Elegir un antivirus confiable y mantenerlo siempre actualizado. Si son versiones gratuitas de sus hermanas pagas, conviene periódicamente cambiar de marca (remplazar AVAST por AVG, luego PANDA, etc…). Para Windows 7 dá muy buenos resultados Microsoft Security Essentials. En Windows 8 y posteriores, Windows Defender (que viene incorporado en el sistema operativo y se puede activar luego de eliminar cualquier otro antivirus que haya venido preinstalado). Con el Firewall de Windows activado y las actualizaciones automáticas siempre al día, no deberían tener problemas.

Notas de trabajo

En estos días me encuentro trabajando justamente sobre una red que, durante este último mes, cada algunos días fue sufriendo la caída de un equipo. El primero no cargaba el sistema operativo y luego de repararlo no actualizaba el antivirus ni podía activársele el firewall. Estaba protegido con Norton, pero su Windows XP no estaba actualizado. La computadora fue formateada y todo reinstalado desde cero, sin nuevos problemas posteriores. Pocos días despues, otra PC empezó a dar muestras de problemas de arranque: era necesario reiniciarla muchas veces hasta que finalmente encendía correctamente. Una limpieza de la configuración y la reparación del sistema operativo (tambien XP) desde un disco original solucionó el problema. Luego de la reparación el Norton comenzó a alertar cada pocos minutos del bloqueo de un ataque MSRPC desde el equipo X. Antes de poder trabajar sobre el equipo X, otra de las computadoras murió en el intento de reiniciarse.

Esta última fue un caso especial. Formateada y vuelto a instalarse todo, se reinfectó antes de la instalación del antivirus dado que estaba conectada a la red. Entonces, tomar nota de no conectar el equipo a una red sospechada de estar infectada antes de completar todo el trabajo. Pero cómo para el caso del antivirus debe accederse a internet para obtener las bases de detección actualizadas, será el mejor remedio desconectar todos los otros equipos durante el proceso. Y, como decía antes, revisar y repetir la limpieza si es necesaria, en cada una de las PC.

En eso estoy…

 


Buscar en JADM

Biblioteca