El procedimiento paso a paso para la implementación puede encontrarse en http://support.microsoft.com/kb/962007
*-*-*-*-*-*-*-*-*
Política # 1.
Descripción: Modificar los permisos NTFS de la siguiente clave de Regedit en todos los equipos de la red:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
Justificación: Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).
Would be blocked by access protection rule (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering as a service).
Comentarios:
· Bastante relevante esta última política debido a esta vulnerabilidad permite que Conficker se registre como un servicio de la máquina (Ver imagen)
*-*-*-*-*-*-*-*-*
Política # 2.
Descripción: Desactivar Reproducción Automática mediante un GPO (gpedit.msc en grupos de trabajo)
Justificación:
· Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).
Would be blocked by access protection rule (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering to autorun).
Comentarios:
· De esta forma es como la Tarea Programada de %windir%\Tasks y %windir%\Tareas logra lanzar el EJECUTABLE de Conficker en el sistema.
*-*-*-*-*-*-*-*-*
Política # 3.
Descripción: Modificar los permisos NTFS de las siguientes carpetas en todos los equipos (Puede ser complicado en grupos de trabajo… aún en investigación de mi parte)
· %windir%\Tareas
· %windir%\Tasks
Justificación: Se ha detectado que Conficker explota esta carpeta con el propósito de generar una tarea que deniege el servicio SERVER en cualquier equipo que sea alcanzable en la red.
5/27/2009 10:00:00 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At12.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At1.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At10.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At11.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At13.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At14.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At15.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At16.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At17.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At18.job W32/Conficker.worm!job (Virus)
5/27/2009 10:00:01 AM Deleted NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Tasks\At19.job W32/Conficker.worm!job (Virus)
Comentarios:
· De esta forma es Conficker está infectando en primera instancia a toda la red.
Aún no hay comentarios
Aún no hay comentarios.
RSS de los Comentarios Identificador URI de TrackBack
Deja un comentario
