Las ideas no duran mucho, hay que hacer algo con ellas

juliorestrepo.wordpress.com desde el año 2008

3 Políticas Anti-Conficker

El procedimiento paso a paso para la implementación puede encontrarse en http://support.microsoft.com/kb/962007
*-*-*-*-*-*-*-*-*

Política # 1.

Descripción: Modificar los permisos NTFS de la siguiente clave de Regedit en todos los equipos de la red:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Justificación: Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).

Would be blocked by access protection rule  (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering as a service).

Comentarios:

· Bastante relevante esta última política debido a esta vulnerabilidad permite que Conficker se registre como un servicio de la máquina (Ver imagen)

*-*-*-*-*-*-*-*-*

Política # 2.

Descripción: Desactivar Reproducción Automática mediante un GPO (gpedit.msc en grupos de trabajo)

Justificación:

· Cubrir la falencia que actualmente presentan los antivirus al respecto (La política se está aplicando en WARN-ONLY MODE para toda la red).

Would be blocked by access protection rule  (rule is in warn-only mode) (Common Maximum Protection:Prevent programs registering to autorun).

Comentarios:

· De esta forma es como la Tarea Programada de %windir%\Tasks y %windir%\Tareas logra lanzar el EJECUTABLE de Conficker en el sistema.

*-*-*-*-*-*-*-*-*

Política # 3.

Descripción: Modificar los permisos NTFS de las siguientes carpetas en todos los equipos (Puede ser complicado en grupos de trabajo… aún en investigación de mi parte)

· %windir%\Tareas

· %windir%\Tasks

Justificación: Se ha detectado que Conficker explota esta carpeta con el propósito de generar una tarea que deniege el servicio SERVER en cualquier equipo que sea alcanzable en la red.

5/27/2009           10:00:00 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At12.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At1.job     W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At10.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At11.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At13.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At14.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At15.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At16.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At17.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At18.job  W32/Conficker.worm!job (Virus)

5/27/2009           10:00:01 AM      Deleted               NT AUTHORITY\SYSTEM              C:\WINDOWS\System32\svchost.exe                C:\WINDOWS\Tasks\At19.job  W32/Conficker.worm!job (Virus)

Comentarios:

· De esta forma es Conficker está infectando en primera instancia a toda la red.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: