Conficker

05/03/2009 - 14:00 por mosquito_hippy | Informe spam
Hola

El conficker me ha infectado un par de servidores Windows 2003 Server uno de
ellos era DC/Proxy/Firewall, le he parchado con el parche correspondiente a
la vulnerabilidad en la que se basa este virus, luego he aplicado el ultimo
MRT y tambien la herramienta FixDownadup de Symantec.

Parecia que lo habia removido pero reaparecio.

Mis preguntas son:

¿Como vuelve este virus si la maquina esta parchada?

¿Tiene solucion o simplemente debo tirar la toalla y formatear el
controlador de dominio?


Gracias por adelantado.

Preguntas similare

Leer las respuestas

#1 Carles Batet
06/03/2009 - 14:12 | Informe spam
Hola

para empezar a mirar cosas,

¿Quienes son los administradores del dominio y tienen password?
¿Hay administradores locales en ese servidor?
¿Tienes otro controlador de dominio?

Saludos


Carles Batet


"mosquito_hippy" escribió en el
mensaje news:
Hola

El conficker me ha infectado un par de servidores Windows 2003 Server uno
de
ellos era DC/Proxy/Firewall, le he parchado con el parche correspondiente
a
la vulnerabilidad en la que se basa este virus, luego he aplicado el
ultimo
MRT y tambien la herramienta FixDownadup de Symantec.

Parecia que lo habia removido pero reaparecio.

Mis preguntas son:

¿Como vuelve este virus si la maquina esta parchada?

¿Tiene solucion o simplemente debo tirar la toalla y formatear el
controlador de dominio?


Gracias por adelantado.
Respuesta Responder a este mensaje
#2 mosquito_hippy
06/03/2009 - 19:07 | Informe spam
Hola Carlos, Gracias por responder

Son dos controladores de dominio, hay 4 cuentas con privilegios de
administrador.




"Carles Batet" wrote:

Hola

para empezar a mirar cosas,

¿Quienes son los administradores del dominio y tienen password?
¿Hay administradores locales en ese servidor?
¿Tienes otro controlador de dominio?

Saludos


Carles Batet


"mosquito_hippy" escribió en el
mensaje news:
> Hola
>
> El conficker me ha infectado un par de servidores Windows 2003 Server uno
> de
> ellos era DC/Proxy/Firewall, le he parchado con el parche correspondiente
> a
> la vulnerabilidad en la que se basa este virus, luego he aplicado el
> ultimo
> MRT y tambien la herramienta FixDownadup de Symantec.
>
> Parecia que lo habia removido pero reaparecio.
>
> Mis preguntas son:
>
> ¿Como vuelve este virus si la maquina esta parchada?
>
> ¿Tiene solucion o simplemente debo tirar la toalla y formatear el
> controlador de dominio?
>
>
> Gracias por adelantado.



Respuesta Responder a este mensaje
#3 Carles Batet
08/03/2009 - 08:58 | Informe spam
Hola

Si hay cuentas con privilegios de administrador del dominio, debemos
asegurar que las máquinas desde las que nos conectamos estén limpias, ya que
sino el virus puede volver a entrar por este medio. Generalmente con
máquinas cliente es más rápido formatear y empezar de nuevo. Si existen
unidades compartidas, aún es más fácil que entren por ese camino.

Te preguntaba si había otros controladores de dominio, para no tener que
montar todo el dominio desde cero. Si tienes prisa, a veces la mejor
solución es reinstalar.

Saludos


Carles Batet



"mosquito_hippy" escribió en el mensaje
news:
Hola Carlos, Gracias por responder

Son dos controladores de dominio, hay 4 cuentas con privilegios de
administrador.




"Carles Batet" wrote:

Hola

para empezar a mirar cosas,

¿Quienes son los administradores del dominio y tienen password?
¿Hay administradores locales en ese servidor?
¿Tienes otro controlador de dominio?

Saludos


Carles Batet


"mosquito_hippy" escribió en el
mensaje news:
> Hola
>
> El conficker me ha infectado un par de servidores Windows 2003 Server
> uno
> de
> ellos era DC/Proxy/Firewall, le he parchado con el parche
> correspondiente
> a
> la vulnerabilidad en la que se basa este virus, luego he aplicado el
> ultimo
> MRT y tambien la herramienta FixDownadup de Symantec.
>
> Parecia que lo habia removido pero reaparecio.
>
> Mis preguntas son:
>
> ¿Como vuelve este virus si la maquina esta parchada?
>
> ¿Tiene solucion o simplemente debo tirar la toalla y formatear el
> controlador de dominio?
>
>
> Gracias por adelantado.



Respuesta Responder a este mensaje
#4 Alejandro
10/03/2009 - 19:13 | Informe spam
En mi empresa se nos metio el Confiker, y la solucion es lenta, no es magica.
primero que nada todas las cuentas deben tener passwords seguros (en especial
los administradores), luego actualizar los antivirus de todas las PCs y
servidores, ejecutar la herramienta MRT como tarea de inicio en todas las
maquinas (y revisar los log en windows\debug si en alguna maquina encontras
la infeccion luego de reiniciar ejecutar el MRT con /F), luego realizar un
full scan con el antivirus programado para se se ejecute todos los dias.
Ademas de esto deberias revisar todos los medios de almacenamiento extraibles
y deshabilitar la funcion de auto run.

Con estos tips, y ademas ver el tema de los recursos compartidos en el lapso
de una semana deberias poder sacar el virus (dependiendo del tamaño de tu red)

Pero el parche de microsoft solo resulve una pequeña parte del problema, ya
que es un problema de diseño de protocolo de comunicacion. Este bug se
conocia desde el 2001 aprox, pero como nadie lo exploto microsoft se dejo
dormir. Segun algunos foros el parche definitivo va a salir a mediados de
este año.

Saludos

"Carles Batet" wrote:

Hola

Si hay cuentas con privilegios de administrador del dominio, debemos
asegurar que las máquinas desde las que nos conectamos estén limpias, ya que
sino el virus puede volver a entrar por este medio. Generalmente con
máquinas cliente es más rápido formatear y empezar de nuevo. Si existen
unidades compartidas, aún es más fácil que entren por ese camino.

Te preguntaba si había otros controladores de dominio, para no tener que
montar todo el dominio desde cero. Si tienes prisa, a veces la mejor
solución es reinstalar.

Saludos


Carles Batet



"mosquito_hippy" escribió en el mensaje
news:
> Hola Carlos, Gracias por responder
>
> Son dos controladores de dominio, hay 4 cuentas con privilegios de
> administrador.
>
>
>
>
> "Carles Batet" wrote:
>
>> Hola
>>
>> para empezar a mirar cosas,
>>
>> ¿Quienes son los administradores del dominio y tienen password?
>> ¿Hay administradores locales en ese servidor?
>> ¿Tienes otro controlador de dominio?
>>
>> Saludos
>>
>>
>> Carles Batet
>>
>>
>> "mosquito_hippy" escribió en el
>> mensaje news:
>> > Hola
>> >
>> > El conficker me ha infectado un par de servidores Windows 2003 Server
>> > uno
>> > de
>> > ellos era DC/Proxy/Firewall, le he parchado con el parche
>> > correspondiente
>> > a
>> > la vulnerabilidad en la que se basa este virus, luego he aplicado el
>> > ultimo
>> > MRT y tambien la herramienta FixDownadup de Symantec.
>> >
>> > Parecia que lo habia removido pero reaparecio.
>> >
>> > Mis preguntas son:
>> >
>> > ¿Como vuelve este virus si la maquina esta parchada?
>> >
>> > ¿Tiene solucion o simplemente debo tirar la toalla y formatear el
>> > controlador de dominio?
>> >
>> >
>> > Gracias por adelantado.
>>
>>
>>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida