El impacto real de este gusano hay que realizarlo teniendo en cuenta las funcionalidades que presenta y las modificaciones que realiza. Al abrir  un puerto al azar, permite que un atacante remoto pueda introducir comandos en el equipo infectado, factor común a las redes de bots; permite también descargar otro software malicioso, lo que implica que podría realizar tareas como envío de correo masivo, robo de identidad, recopilación de direcciones de correo, ataques de red....

Evitar la infección del gusano

Siga estas medidas básicas de seguridad:

• Actualice su Sistema Operativo, asegúrese especialmente de tener instalado el parche MS08-067, que soluciona la vulnerabilidad explotada por el gusano.
• Tenga instalado un antivirus actualizado en su ordenador, si no tiene uno consulte nuestro listado de antivirus de escritorio gratuitos.

• En caso de que utilice carpetas compartidas, asegúrese de que estén protegidas con contraseñas fuertes.
• Desactive la opción autorun de las unidades de disco extraíbles, puede encontrar información ampliada de cómo se hace en US-CERT.
• Utilice un cortafuegos y configurelo de forma adecuada, si no dispone de ninguno aquí tiene varios.
• Asegúrese de que todos los dispositivos extraíbles que se vayan a conectar al equipo están libres de virus, para ello análicelos con un antivirus actualizado antes de que se ejecute su contenido, si su antivirus tiene protección residente, no es necesario hacer este análisis.

• Bloquee el acceso a las direcciones de Internet a las que se conecta el gusano.

  • Puede utilizar el siguiente listado de direcciones de Conficker hasta 30 de Junio facilitado por Microsoft
  • puede consultar el siguiente listado de F-Secure con URLs válidas hasta el 28 de febrero.
  • Puede usar la herramienta ejecutable que aparece en el blog de MNIN y en el que se explica cómo utilizarla.

Desinfección del gusano

En caso de que su ordenador se haya quedado infectado, realice las siguientes acciones para eliminarlo de su equipo:

1. En caso de que usted tenga el ordenador en una red, avise al administrador del sistema de la infección, de este modo evitará que se  infecten o queden infectados los otros ordenadores de su misma red.
2. Actualice su sistema operativo, asegúrese especialmente de que tiene instalado el parche de Microsoft MS08-067.
3. Ponga unas contraseñas fuertes de acceso a las carpetas compartidas.
4. Analice todo su ordenador con un antivirus actualizado, si no dispone de ninguno instáleselo; en el siguiente enlace encontrará un listado de antivirus de escritorio gratuitos.
5. Analice con el antivirus actualizado todos los dispositivos extraíbles, por ejemplo, lápices USB, disco externos, reproductores mp3, mp4... que haya conectado recientemente al equipo, asegúrese de que están libres de virus.
6. Siga los pasos indicados en el apartado anterior de Evitar la infección del gusano, para evitar que se vuelva a quedar infectado.

Para prevenir problemas de seguridad le recomendamos que siga siempre nuestros Consejos Básicos de Seguridad.

En las últimas horas se está detectando una infección masiva de ordenadores por el gusano Downadup, también conocido como Conficker por varias compañías antivirus.

El gusano puede acceder a un ordenador infectado de tres formas:

• Aprovechando la vulnerabilidad CVE-2008-4250, solucionada por Microsoft en su parche extraordinario de Octubre MS08-067.
• A través de carpetas compartidas en red protegidas con contraseñas débiles.
• A través de dispositivos extraíbles, por ejemplo, lápices USB, creando un fichero con nombre autorun.inf cuya acción sea autoejecutar la copia del gusano cada vez que un usuario conecta el dispositivo extraíble a un ordenador.

No se descarta que en los próximos días el gusano pueda cambiar e intentar acceder a los ordenadores a través de nuevas formas de acceso.

Es importante mencionar que, aunque un ordenador tenga instalado el parche MS08-067, también se puede quedar infectado si se conecta en el equipo un dispositivo extraíble infectado o mediante las carpetas compartidas en red de Microsoft.

El gusano accede a determinadas direcciones de Internet que tiene en su código para descargase más programas maliciosos, también es posible que se utilicen los ordenadores infectados para crear una red zombie (botnet).

Actualmente la gran mayoría de los antivirus detectan el gusano Downadup y todas sus versiones.

Direcciones a las que accede Downadup

Respecto a las direcciones a las que accede el gusano, es importante tener en cuenta los siguientes aspectos:

• Es posible que algunas de ellas sean direcciones de Internet legítimas, tal y como explica Sophos en su entrada Daños colaterales de Conficker en marzo 2009
• Varias organizaciones, entre ellas Microsoft e ICANN, han creado el grupo "Conficker Cabal", que pretende detener la infección de Downadup registrando con antelación, las direcciones a las que se va a conectar el gusano. De esta forma se mejora la seguridad en la red. Aunque para los administradores, se reduce la urgencia de bloquear las direcciones a las que se conecta este programa malicioso, es recomendable que tengan el listado de direcciones y monitoricen las conexiones que pretenden realizar los equipos de la red, si detectan que algún ordenador se ha intentado conectar a alguna de estas direcciones, es muy probable que ese equipo esté infectado.
• Debido a que el gusano varía muy frecuentemente de dominio al que conectarse, conviene tener el listado de dominios a bloquear actualizado, por un lado, incluyendo los nuevos dominios a los que intentará acceder el gusano en el futuro, pero por otro lado, también quitando del listado de direcciones bloqueadas, aquellas a las que ya no vaya a acceder el gusano, ya que pueden ser utilizadas en un futuro con fines no maliciosos.