DESCONOCIDO: Downadup.C se conecta a determinados dominios de Internet prefijados por el creador del programa malicioso, sin embargo se desconoce qué va a suceder cuando un ordenador infectado acceda a dichas direcciones.

Tener libre de virus los ordenadores, instalados todos los parches de seguridad y utilizar contraseñas robustas.

Si se sospecha de que algún ordenador puede estar infectado, aislarlo del resto de ordenadores y no permitir su conexión a Internet hasta que se hayan eliminado todos los programas maliciosos que haya. Para facilitar la eliminación de la familia de gusanos Downadup, varias empresas de seguridad informática han creado herramientas gratuitas de desinfección. Puede encontrar un listado con varias de ellas en el apartado de "Contramedidas" de nuestra descipción del virus Downadup.C

Si es administrador de redes también puede utilizar el listado de direcciones a las que se va a conectar el gusano para bloquear el acceso a Internet a estas direcciones.

Por otro lado en Honeynet Proyect han creado una prueba de concepto para detectar qué ordenadores están infectados con Downadup, comprobando si la función NetpwPathCanonicalize() que antes del parche de Microsoft MS08-067 contenía un desbordamiento del búfer, está parcheada pero de una forma diferente a como queda después de la actualización de Microsoft. Esta prueba de concepto está pensada para integrarla en diferentes herramientas de análisis de vulnerabilidades.

Puede utilizar alguna herramienta para la comprobación de ordenadores infectados por Conficker como, por ejemplo, esta herramienta de McAfee que funciona consultando si los servicios que deshabilita por defecto Conficker, están activados o no en el ordenador. Hay que tener cuidado con los falsos positivos que se pueden producir si, por políticas de la empresa, esos servicios ya están deshabilitados en el sistema. En este caso, esta herramienta no será útil.

La conexión a Internet el 1 de abril del programa malicioso Downadup.C es una de sus principales funcionalidades, sin embargo, no es la única acción dañina que realiza. Entre otras acciones, impide el acceso a Internet a determinadas páginas de seguridad, elimina los puntos de restauración del sistema para dificultar su eliminación y deshabilita varios servicios de seguridad de Windows. Excepto la acción de conexión a Internet, el resto de actividades las realiza nada más infectar el ordenador, independientemente de la fecha que sea.