WORM_DOWNAD ayuda!!

[fixius]

Hola a todos,

soy nuevo en escribir mensajes en el foro, no en leerlo.

En principio normalmente leyendo lo que pone la gente i con manuales siempre he quitado los diferentes virus que he tenido, os pero ahora ha llegado el momento que me has superado.

Os explico:



Soy informatico y tengo en el trabajo unos 10 servidores,

Hace una semana que tengo la infeccion del worm_downad i worm_downad.ad he instalado todos los parches a los servidores, he actualizado antivirus, por cierto tengo el trendmicro, he analizado con diferentes antimalwares, en modoa prueba de fallos...

vamos todo lo que he sabido.

Resulta que 3 servidores aun me dan virus de este tipo cada 10 minutos me salta la pantalla con virus encontrados.

Desde la consola del trend micro veo que solo hay 3 servidores infectados i un ordenador pero no sé como quitarlos alguna idea??

Ya no sé que hacer me estoy volviendo loco.

El hijackthis está correcto.

Ayuda!!!!!



Gracias

[msc hotline sat]

Pues como informatico que eres, quizas hayas oido hablar del Conficker, virus que aprovecha un fallo de seguridad de Windows, que se resolvió con el parche MS08-067, y que posiblemente no tenías cuando entró en tu red, y justamente este WORM_DOWNAD.AD que te detecta Trend, aprovecha el agujero en cuestiónm segun indican en:



http://about-threats.trendmicro.com/Malware.aspx?language=us&name=WORM_DOWNAD.AD



Como que hemos tenido miles de incidencias con el Conficker, te podría indicar que una vez ingresado en una Red, aunque pongas los parches, ello solo evita que vuelva a ingresar por IP, pero tiene sistemas de propagacion por recursos compartidos y por pendrive, que dificultan su eliminacion.



Para dicho virus tenemos las herramientas apropiadas y lo eliminamos siguiendo un protocolo indicado en :



http://www.zonavirus.com/noticias/2011/tiene-problemas-con-la-eliminacion-del-conficker.asp



http://www.zonavirus.com/noticias/2010/otra-variante-de-conficker-viene-a-sumarse-a-las-55-que-ya-controlamos.asp



Para este que dices, hay que ver si es de los que controlamos con nuestras utilidades, y si no te pediremos que nos envies muestra del mismo para analizar y pasar a controlarlo.



Al ser el nombre que usa Trend, puede que no sea el mismo que usemos nosotros, voy a ver...



:roll: :roll: :roll:



Resulta que los señores de Trend le llaman asi al Conficker !



http://www.pc1news.com/virus/alias-worm-downad-ad-47426.html



Recordabamos que Symantec le llama Downadup y Kasperky llama Kido a lo que McAfee y muchos otros llaman Conficker, que es como lo conocemos, pero Trend apenas lo usan los usuarios de este foro, y no le habíamos llamado asi, pero ya ves, es el tan conocido Confcker !!!



Sigue las indicaciones que te damos en el primero de los links y lo eliminaras, como tantos usuarios a los que lo hemos logrado, y si quieres mas informacion, no te preocupes, consultanos que es de los que hemos tenido que hablar mas veces :mrgreen:



saludos



ms, 19-3-2011

[fixius]

He mirado los links que me pones he pasada el detector de mcfee para la red i no me sale nada.

Como si no tuviera ningun virus.

Aun si el trendmicro cada 10 minuts me muestra la pantalla de Virus encontrado i me da dos.

El worm_downad.ad i el worm_downad.

EL problema es que pone solo eliminado explorado por DCS i no me me dice que fichero es ni nada.

No sé como pararlo.

Puede ser el propio antivirus??

Gracias!!

[fixius]

Acabo de passar el elistrip i tampoco me ha detectado nada.

Teneis alguna idea??

Me estoy volviendo loco!!!

[fixius]

POr cierto una cosa.

He pasado el elistrip i el usb445.

I me ha parado la infección a los ordenadores pero cuando reinicio el ordenador me vuelve a salir.

Como puedo arreglar-lo?

Si chapo el puerto 445 en un servidor de impresión funcionarà la impresión igualmente?

Gracias!!

[msc hotline sat]

A ver, el caso es que debes lanzar el USB445, y si ya tienes el parche instalado (sino lanza entonces un windowsupdate), a continuacion (sin arrancar en modo normal), arranca en modo seguro y lanza tu antivirus en dicho modo, que asi podrá eliminarlo.



Pero claro esto hazlo desconectado de tu red de ordenadores, porque sino, otro ordenador infectado lo volverá a infectar por comparticiones administrativas, a no ser que tengas un password fuerte (alfanumerico y con mayusculas y minusculas).



Una vez todos limpios y parcheados, los puedes volver a conectar entre sí sin que vuelva a propagarse el virus, al no estar en ninguna máquina, pero ojo a no conectar en la red ningun portátil infectado...



Tras pasar el USB445 en cada ordenador, ya todos los ordenadores estarán protegidos contra la infeccion por pendrive, pero de todas formas, para que no infecten otros ordenadores externos, los pendrives vacunalos con el ELIPEN.



Y lo de detener el servicio servidor del USB445 es solo para la sesion en curso, en cuanto reinicies estará normalizado.



Lastima que no uses VirusScan McAfee Enterprise 8.8, pero incluso con Trend espero que lo podrás eliminar, lo único es que no te controle la próxima infeccion, eso es cosa de ellos...



Con el VirusScan de McAfee se evita la infección desde otro ordenador en Red como decimos en :



"[i][b]Conviene que se active el analisis de unidades de red del siguiente modo: Dentro de la Consola de VirusScan, en el ANALIZADOR EN TIEMPO REAL, entrar en TODOS LOS PROCESOS y en la pestaña de ELEMENTOS DE ANALISIS, activar UNIDADES DE RED (es la manera como el Antivirus puede controlar las unidades de Red, no estando activada básicamente dicha opción, para no ralentizar el proceso al consumir bastantes recursos).[/b][/i]"



Lee bien la noticia del enlace en la que indicamos el [url=http://www.zonavirus.com/noticias/2011/resumen-informacion-y-procesos-para-eliminar-el-conficker.asp]resumen[/url], y siguiendo las indicaciones lo podrás eliminar, al menos asi ha sido con todos los que hemos tratado, que en algo mas de dos años que lo conocemos, han sido muchos cientos de casos con miles de ordenadores ...



saludos



ms, 19-3-2011





NOTA: Y recuerda que es RootKit, asi que no te extrañe que el ELITRIIP no lo vea si está en memoria... En cambio lo verás y eliminarás en los pendrives si los examinas desde un ordenador limpio, protegido con el ELIPEN para que no se infecte, claro (o con el USB445 si lo has usado para limpiarlo).



No te preocupes en preguntar sobre el particular, no me extraña, pues es un bicho que se las trae. Por esto hemos hecho tantas utilidades para facilitar su deteccion y eliminacion ... USB445, ELITRIIP, ELIPEN, COMPROBADOR, y contamos con la fabulosa utilidad del CONFICKER DETECCION TOOL para ver cuales estan infectados en la red, y con el VirusScan de McAfee, claro ! ms.

[fixius]

Hola de nuevo

Te voy a explicar Lo k he hecho a ver k paso me salto o k hago mal

Primero decir k es un server 2003 r2 sp2 kon todos los upgrades incluidos los opcionales de software

Pongo el usb445 después paso el elistar reinicio a prueba de fallos sin red

Escaneo con el software malintencionado de windows el antimalware el adware i el trend micro no me detectan nada todo ok

Reinicio normal i me vuelve a salir

No se k hacer

K hago mal???

[fixius]

Ahhh otra cosilla he pasado el detector por toda ls red

Me dice k ningún ordenador tiene virus ...

Raro no??

Un saludo

[msc hotline sat]

Ajá, creo recordar que el server 2003 requiere el MS08-067 para evitar que entre el Conficker.



Si los limpias y no tienes dicho parche, puedes volver a ser infectado desde Internet.



Posteanos el contenido de C:\infosat.txt, a ver si detecta falta de dicho parche, gracias



saludos



ms, 19-3-2011

[fixius]

Buenas de nuevo,

ahora estoy en el trabajo y veo que en el servidor se me crea un archivo siempre llamado swfbdpkt.wu que es el que tiene virus!!

un servicio a lo mejor??

Pero ningun antivirus me encuentra virus.

Si me dice que me atacan y crean este archivo que el antivirus borra.

Pero como me crean este archivo??

[msc hotline sat]

Pues envienos para analizar dicho fichero swfbdpkt.wu



Puede tratarse de una variante aun no controlada.



Tras analizarlo, le informaremos







RECORDAR:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-3-2011