Maldito Conficker!!

En casa del herrero…  De paso bloqueo el acceso a sitios web que lo propagan

Valencia, 31/10/2010, G.B.
Anoche, iniciando Windows para una de las dos tareas que todavía no he conseguido hacer en Linux – probablemente por pereza, no por imposibilidad del sistema, casi seguro –  me encontré que el sistema iba más lento que ‘el caballo del malo’. También observé algún que otro proceso ‘sospechoso’, como poco. Tras ejecutar  regedit y eliminar algunos valores en el registro del sistema correspondientes al arranque de Windows (Run), así como eliminar un .exe de la carpeta Windows, los acentos dejaron de funcionar: lagarto, lagarto…  Inserté un USB y ví que estaba infectado con el gusano Conficker (gusano Downadup): carpeta RECYCLER o RELYCLED y una carpeta sospechosa. Además, el antivirus dejó de funcionar y ninguna de las opciones de desinfección y/o consulta a servidores de antivirus funcionaba: denegación de servicios. Claro como la luz del día. Eso me pasa por no revisar de vez en cuando el sistema; estoy ya acostumbrado a la velocidad y fiabilidad de mi Ubuntu (ahora mismo estoy utilizándolo) y mi Kubuntu. Pero a mi familia no les parece una opción válida, lo entiendo. Debes convencerte por ti mismo. Y lo que pasa, lo vas dejando hasta que te encuentras el ‘empastre’.

Con ‘dos cojones y un palo‘, y por no complicarme más la vida, me cargué los diiez primeros cilindros del disco duro e instalé en limpio. Una solución drástica, puede que matar moscas a cañonazos, lo sé, pero eficaz y que consiguió que me quedara tranquilo. De todas formas, ya le tocaba al sistema: sabemos que el registro de Windows se va ensuciando a medida que vamos instalando-desinstalando aplicaciones, sobre todo, si no estás detrás para echar un vistazo a los procesos. Es muy fácil que la infección haya venido por alguna memoria USB de álguien que haya ido a un cibercafé y haya insertado el USB en el PC. Casi seguro…

Debo decir que mi sistema era Windows Home XP original, con las actualizaciones activadas y al día, así como el Firewall y el antivirus AVAST Home Edition, el cual dejó de funcionar por causa de la infección.  Bien, he vuelto a instalar el sistema (los datos siempre los tengo aparte, en un disco duro externo, así como las configuraciones de correo pop, que yo ya no utilizo). Revisé un post que escribí en este mismo blog hace algunos meses buscando Confinker, que por cierto, se escribe Conficker (ya está corregido en dicho post).  Ví que en uno de los enlaces que mencionaba estaba la opción de desactiva la reproducción automática de CDs y memorias USB o pendrives, los más que posibles responsables de la infección de mi sistema ‘completamente legal, actualizado y protegido, al menos en teoría). Pues bien, ahora he desactivado dicha reprodución automática y me instalado otro antivirus (lo siento, AVAST).  No es que yo utilice mucho Windows en casa, pero mi familia sí. Intentaré correr los menos riesgos posibles, pero parece ser que con Windows eso es casi una utopía. Es posible que me equivoque, pero tengo esa sensación.

Y para finalizar, y por si vuelve a suceder, dejo estas líneas para no olvidarme de cómo deshabilitar la reproducción automática y bloquear así los archivos autorun.inf, en donde suele esconderse el ‘peligro’:

Vamos a Inicio -> Ejecutar, escribimos gpedit.msc y pulsamos Aceptar.

1. Aparecerá el editor de directivas de grupo de nuestro sistema operativo
2. Nos  dirigirnos a Configuración del equipo->Plantillas administrativas->Sistema
3. Seleccionamos la opción Desactivar Reproducción automática; doble clic sobreesta opción
4. En el cuadro de diálogo que aparece, seleccionamos Habilitar. Estaremos así habilitando la desactivación, aunque suene confuso o contradictorio

Haremos exactamente lo mismo con Configuración del equipo->Plantillas administrativas-> Usuario
Realizaremos el proceso descrito arriba, los cuatro pasos

Con ello, cuando insertemos un CD o una memoria USB o pendrive, ya arrancará automáticamente, tendremos que hacerlo de forma manual, evitando así la inyección de código a través del archivo autorun.inf.

Dejaré captura de pantalla (ahora mismo estoy con Ubuntu…)

Enlaces de interés al respecto:
- Eliminar gusano Conficker (para no hacer lo que yo he hecho)
- El gusano Conficker
- Una guía para conocer el gusano Conficker
- Soporte Microsoft
- Código malicioso de autorun.inf
- El registro de Windows

P.D. Uf, menos mal! arece que la partición de Windows XP de mi portátil no está infectada con el gusano Conficker. Me he encontrado con este interesante post que informa de cómo eliminar el gusano Conficker. No lo he probado, pero sí que voy a dekar constancia d elos sitios web que nos comenta que debemos bloquear. Son los siguientes, aunque seguramente debe haber muchos más sitios:

hgetmyip.org
getmyip.co.uk
checkip.dyndns.org
whatsmyipaddress.com
ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com

Para bloquear estos sitios que propagan el gusano y así que no se puedan abrir con ningún navegador, modifica el archivo hosts de Windows, ubicado en windows/system32/drivers/etc. Escribe los sitios que quieras bloquear antecediéndoles la dirección IP local 127.0.0.1. Abre el archivo con el block de notas o un editor de texto plano. Quedaría así:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo “#”

#

# Por ejemplo:

#

#      102.54.94.97     rhino.acme.com          # servidor origen

#       38.25.63.10     x.acme.com              # host cliente x

127.0.0.1       localhost

# 31/10/2010, G.B.: Bloqueo sitios que propagan el gusano Conficker:

127.0.0.1 hgetmyip.org

127.0.0.1 getmyip.co.uk

127.0.0.1 checkip.dyndns.org

127.0.0.1 whatsmyipaddress.com

127.0.0.1 ahayw.info

127.0.0.1 ajcminmqpeu.com

127.0.0.1 anosb.biz

127.0.0.1 aqgcurmt.net

127.0.0.1 bdfbobhuls.com

127.0.0.1 bjmqxoxbmyq.org

127.0.0.1 bszeu.info

127.0.0.1 cfcpreiwtgx.net

127.0.0.1 cpfgbuwqv.biz

127.0.0.1 cukpubgb.net

127.0.0.1 dconkp.com

127.0.0.1 dpxzsrjhsn.org

127.0.0.1 dtyqryfi.biz

127.0.0.1 dviwvh.net

127.0.0.1 dwmpveim.info

127.0.0.1 dxnlypjjxp.biz

127.0.0.1 eaguzulxdr.org

127.0.0.1 ekrohmqa.info

127.0.0.1 eoblibwqaig.info

127.0.0.1 epvzvuah.info

127.0.0.1 ethogxkt.net

127.0.0.1 euwqeixq.biz

127.0.0.1 exxcpxm.net

127.0.0.1 eyjayqmwxxo.org

127.0.0.1 ezhvnjlvuk.org

127.0.0.1 fdzwsak.net

127.0.0.1 gatkcy.org

127.0.0.1 gceqy.info

127.0.0.1 ggcnqnr.info

127.0.0.1 gkmdbporqmp.biz

127.0.0.1 gmtgpb.org

127.0.0.1 guiahproe.info

127.0.0.1 gxepchol.net

127.0.0.1 gztql.net

127.0.0.1 haqrcz.com

127.0.0.1 hkqrhqev.com

127.0.0.1 hndrijmu.org

127.0.0.1 hvxmlcc.org

127.0.0.1 idahdfyojhz.com

127.0.0.1 ipbdwihw.info

127.0.0.1 iquvtfhm.net

127.0.0.1 irhtphctgn.com

127.0.0.1 ivouyvxaf.net

127.0.0.1 jfvyipo.info

127.0.0.1 jhhwydtk.com

127.0.0.1 jjbuafs.info

127.0.0.1 jptplynb.org

127.0.0.1 jutsyu.com

127.0.0.1 kagvjo.com

127.0.0.1 kfzksydrct.org

127.0.0.1 khvdkdjnrhr.biz

127.0.0.1 ktivtbse.net

127.0.0.1 lbori.com

127.0.0.1 ltxbrwfosrg.net

127.0.0.1 mhjhb.com

127.0.0.1 mtqcpiwod.biz

127.0.0.1 nsjmewgdb.com

127.0.0.1 ntshnjyxfh.net

127.0.0.1 nxphotp.com

127.0.0.1 ocykqj.biz

127.0.0.1 oenjrcaly.net

127.0.0.1 oororgpkbp.com

127.0.0.1 ozlqvnkiq.net

127.0.0.1 palrw.org

127.0.0.1 pmotqmf.com

127.0.0.1 pvuxb.info

127.0.0.1 qffszcfgyzn.org

127.0.0.1 qfoilcqp.com

127.0.0.1 qjafgfp.net

127.0.0.1 rfuzjbztg.biz

127.0.0.1 riuvunis.info

127.0.0.1 rlbidexd.org

127.0.0.1 rntbogfz.biz

127.0.0.1 rtkrhxsp.biz

127.0.0.1 ruolomicarp.org

127.0.0.1 rxytvgkapvw.biz

127.0.0.1 safxg.net

127.0.0.1 sdxkcnzcvhd.org

127.0.0.1 shbyxebiec.biz

127.0.0.1 srsoeggve.org

127.0.0.1 tbkmloh.net

127.0.0.1 tezjm.net

127.0.0.1 tilazlfn.com

127.0.0.1 tqlxquy.org

127.0.0.1 trxho.org

127.0.0.1 uiiwmmgr.com

127.0.0.1 upyuqxpmlxt.net

127.0.0.1 vdunf.net

127.0.0.1 vtewiyny.info

127.0.0.1 vuahzmvf.biz

127.0.0.1 vweoof.org

127.0.0.1 wkjhjr.com

127.0.0.1 xehlydgan.net

127.0.0.1 xmmzcsqm.biz

127.0.0.1 xtjejduc.org

127.0.0.1 xxwoteojg.biz

127.0.0.1 xytbvkrqhu.info

127.0.0.1 ybhufq.net

127.0.0.1 yenhbrt.biz

127.0.0.1 yfczve.info

127.0.0.1 ylfamhcgn.net

127.0.0.1 ylzbgyorfy.org

127.0.0.1 ysxbkquj.info

127.0.0.1 ythekdrar.net

127.0.0.1 yudxsol.org

127.0.0.1 yzbvrteij.biz

127.0.0.1 yzpjvpkdtq.biz

127.0.0.1 zjxuw.org

127.0.0.1 zpqhr.biz

127.0.0.1 zuuroktw.biz

127.0.0.1 zzkjecmf.com

Posts relacionados:

Tags (etiquetas): archivo hosts, autorun, bloquear páginas web, bloquear sitios web, conficker, confinker, desactivar autorun, desactivar reproducción automática, directivas sistema Windows, eliminar Conficker, gpedit.msc, gusano Conficker, gusano Downadup, malware, regedit, troyanos