F-Secure Corporation alerta acerca de las nuevas versiones del gusano “Downadup”. Este gusano infecta las estaciones de trabajo y ervidores Windows, causando diversos problemas. Desde Año Nuevo, F-Secure ha recibido varios informes de las redes corporativas infectadas con variantes de este gusano.

F-Secure está colaborando estrechamente con las empresas afectadas, así como con diversas organizaciones de CERT para luchar contra este gusano.

Downadup (también conocido como Conficker) es parte de una gran familia de gusanos de red. Ellos son inusualmente difíciles de quitar, especialmente en el caso de una infección interna dentro de una red corporativa.

¿Qué hacer para evitar la infección:

- Asegúrese de que la más reciente actualización de seguridad de Microsoft se ha aplicado
- Asegúrese de que en su organización se está ejecutando la última versión de su producto antivirus
- Comprobar que el producto antivirus tiene las últimas actualizaciones
- Apague AUTORUN y AUTOPLAY para memorias USB
- Asegúrese de que las conraseñas de los usuarios de dominio son fuertes
- Tenga mucho cuidado sobre los administradores de contraseñas del dominio  

¿Qué hacer si su red ya está infectada:

- Revise en su proveedor de antivirus la página web de instrucciones para la desinfección
- La desinfección de este gusano es compleja y podría exigir el cierre de partes de su red
- Restringir el uso de memoria USB y bloquear el tráfico innecesario en su cortafuegos

¿Qué hace el gusano?

Downadup utiliza varios métodos diferentes de propagación.  Estas incluyen el uso de la vulnerabilidad parcheada recientemente en Windows Server Service, adivinar contraseñas de red y de infectar a los dispositivos de memoria USB.  Como resultado final, una vez que el software malicioso obtiene acceso al interior de una red corporativa, puede ser extraordinariamente difícil de erradicar completamente.

Típicos problemas generados por el gusano a los usuarios de la red incluyen el bloqueo de sus cuentas.  Esto sucede porque el gusano trata de adivinar (a fuerza bruta) contraseñas de red, y por lo tanto obtiene el bloqueo automático de salida de un usuario que tiene demasiados fallos de contraseña.

Una vez que este gusano infecta una máquina,  se protege de forma muy agresiva.  Esto se hace mediante el establecimiento de sí mismo para volver a arrancar muy temprano en el proceso de arranque del ordenador y mediante el establecimiento de derechos de acceso a los archivos y claves del registro del gusano, para que el usuario no pueda quitar o cambiar.

El gusano se descargas en versiones modificadas de sí una larga lista de sitios web.  Los nombres de estos sitios son generados por un algoritmo basado en fecha y hora actuales.  Como hay cientos de nombres de dominio que podrían ser utilizado por el malware, es difícil para las empresas de seguridad  localizar y cerrar todos ellos en el tiempo.

Más información técnica sobre el malware se encuentra disponible en F-Secure en el blog de http://www.f-secure.com/weblog/

F-Secure ha publicado una herramienta gratuita que puede quitar las versiones conocidas de Downadup. La herramienta también está disponible para su descarga desde F-Secure blog.

http://www.f-secure.com/f-secure/pressroom/news/fs_news_20090107_01_eng.html