Downandup: como eliminarlo

Downandup, que es, como se contagia, que daños puede hacer y como eliminarlo. El gusano conficker (a.k.a Downandup) es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada. El virus convierte nuestro ordenador en un servidor de internet con muchas puertas abiertas.

Downandup vuelve a cobrar fuerza después de que ya lo anunciaramos el pasado 28 de Noviembre, y es que Downandup aprovecha el gusano conficker para infectar a los ordenadores.

Además, el gusano conficker es muy peligroso por su facilidad para mutar y por los daños realizados en la máquina infectada, por lo que si aun no está infectado, le recomendamos se haga con un antivirus totalmente actualizado. Como siempre la infección suele realizarse aprovechando las vulnerabilidades del sistema operativo Microsoft y a pesar de que la empresa de Redmon ha sacado ya el parche correspondiente para bloquear esta vulnerabilidad (Octubre MS08-067(+)), aun hoy en dia son muchos los equipos susceptibles de ser infectados, sobre todo porque el parche de seguridad no impide la propagación del mismo.

Las formas de infección mas frecuentes son:

  • A través de la vulnerabilidad de windows
  • Carpetas con contenido compartido con contraseñas débiles
  • Dipositivos extraibles (discos duros, lápices USB, tarjetas de memoria fotográfica) que contengan un fichero autorun.inf (ojo, no todos los ficheros autorun.inf son virus) que copia el gusano en el ordenador del dispositivo conectado.

Como saber si se está infectado

Cuando downdandup (alias conficker) infecta un equipo ejecuta los siguientes pasos:

  1. copia el siguiente fichero
    %System% \[Nombre del fichero aleatorio].dll
  2. Borra los puntos de restauración creados por el usuario
  3. Crea el servicio netsvcs tal y como sigue:
    • Nombre: netsvcs
    • %SystemRoot%\\system32\\svchost.exe -k netsvcs
  4. Crea la siguiente clave en el registro
    • Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters\
    • Valor: “ServiceDll” = “[PathToWorm]“
  5. El gusano se conecta a las siguientes URL y así consiguen tu direccion IP
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://checkip.dyndns.org
  6. Descarga un fichero de la siguiente URL:
    • http://trafficconverter.biz/4vir/antispyware/loada[ELIMINADO]
  7. Dentro del ordenador infectado, el gusano downandup crea un servidor http, es decir, nuestro ordenador se convierte en un servidor web, en un puerto aleatorio
    • http://[Dirección IP externa de la máquina infectada]:[Puerto aleatorio]
  8. Se conecta con otros equipos remotos enviando la direccion que hemos visto en el punto anterior, por lo que consigue que este ordenador se convierta en un nuevo emisor del gusano, infectando otros ordenadores.
  9. El router se conecta a algún router UPnP para abrir el puerto http que permitirá, a continuación, encontrar nuestra tarjeta de red y abrir el puerto aleatorio que se creó anteriormente, dejando una puerta abierta a nuestra red a cualquier atacante.
  10. El gusano intenta descargar un archivos de datos desde la URL:
    • [http://]www.maxmind.com/download/geoip/database/GeoIP.[Eliminado]
  11. Una vez llegados a este punto, el gusano downandup se propaga, explotando la vulnerabilidad del Servidor de Servicio de Microsoft Windows.
  12. Siguendo con la obra de ingeniería, contacta con las URL siguientes para capturar la fecha:
    • http://www.w3.org
    • http://www.ask.com
    • http://www.msn.com
    • http://www.yahoo.com
    • http://www.google.com
    • http://www.baidu.com
  13. Y utiliza la información resultante para generar una lista de nombres de dominios usados por el atacante para instalar y descargar ficheros adicionales de control en el ordenador atacado.

Una obra de ingenería, ¿no creeis?

Como borrar el gusano Downandup

En caso de que, como hemos dicho, no haya borrado los puntos de restauracion, pruebe a usar la “Restauracion del Sistema” con lo que eliminará el virus volviendo al ultimo punto de restauracion válido de la configuracion del Windows.

En caso de que no pueda volver a un punto de restauracion anterior, desactive temporalmente la Restauracion del Sistema y siga los siguientes pasos para eliminar el gusano Downandup

  1. Inicio > Ejecutar
  2. Escriba: services.msc y pulse Aceptar
  3. Busque el servicio con el nombre “netsvcs” y deténgalo
  4. Cambie el “Tipo de Inicio” a Manual (por defecto, sale como automático)
  5. Reinicie el equipo en Modo seguro o Modo a prueba de fallos
  6. Con un antivirus actualizado, busque todas las copias del virus en su ordenador
  7. En caso de que el antivirus no pueda reparar o borrar los ficheros, abra el administrador de tareas de windows y, en la pestaña de Procesos, busque el archivo infectado que está siendo ejecutado y deténgalo.
  8. Editar el registro
    • buscar y eliminar la siguiente clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs
  9. Eliminar archivos temporales
  10. Actualizar el software con el parche de Microsoft MS08-067(+)
  11. Reiniciar el ordenador
  12. Volver a pasar el antivirus para comprobar que todo está correcto.

Como evitar ser infectados por Downandup

Como siempre, estos virus hacen su trabajo debido a la relajación por parte del usuario a la hora de proteger su equipo. Como ya hemos dicho, un buen antivirus, así como tener actualizado el sistema operativo, son los mejores consejos. Además: proteger con contraseñas fuertes las carpetas compartidas, sobre todo en windows Vista y windows XP y escanear los dipositivos extraibles antes de insertarlos en el ordenadores.

Como es conocido el downandup en internet

  • WORM_DOWNAD.A (Trend Micro)
  • W32/Confick-A (Sophos)
  • W32/Conficker.A.worm (Panda Security)
  • Trj/Downloader.VAU (Panda Security)
  • W32/Conficker.worm (McAfee)
  • W32.Downadup (Symantec)
  • Trojan.Downloader-59911 (ClamAV)
  • Downadup.AL (F-Secure)
  • Worm:W32/Downadup.AA (F-Secure)
  • Win32/Conficker.A (Computer Associates)
  • W32/Downldr2.EXAE (Authentium)
  • Trojan.Downloader.JLIW (Bit Defender)
  • Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)
  • Net-Worm.Win32.Kido.t (Kaspersky)
  • W32/Downadup (PerAntivirus)
  • Trojan/Downloader.Agent.aqfw (Hacksoft)
  • W32/DownAdup (Hacksoft)
  • TrojanDownloader.Agent.aqfw (Quick Heal)
  • Win32/Conficker.A (ESET)
  • Worm.Win32.Conficker!IK (Emsisoft)
  • TR/Dldr.Agent.aqfw (AVIRA)
  • Trojan.DownLoad.16849 (Doctor Web)
  • Downloader.Agent.APKO (AVG)
  • W32/Conficker.A!worm (Fortinet)
  • Trojan.Win32.Downloader.62976.AJ (Hauri)
  • Win32/Conficker.worm.62976 (Ahn Lab)
  • Trojan.Disken.B (VirusBuster)
  • Trojan.Downloader.JLIW (G DATA)
  • Worm.Win32.Conficker (Ikarus)
  • Worm:Win32/Conficker.A (Microsoft)
  • Trojan-Downloader.Agent (PC Tools)
  • Trojan-Downloader.Win32.Agent.aron (VBA (VirusBlockAda))

25 respuestas

  1. Gusano Conficker.A | Antivirus, Antispam, Antispyware:

    [...] Actualizacion: que es, como evitarlo y como eliminar el virus conficker [...]

    Escrito en 24th enero 2009 a las 1:19

  2. eBuho:

    Este virus ya tiene como eliminarlo pero luego vendrán otros así que prevenir antes que lamentar es un dicho que debemos atender con mucho cuidado. Les dejo algunos tips para al menos dificultarle la vida a los virus que quieren ingresar a tu pc.

    Escrito en 25th enero 2009 a las 20:29

  3. Tere:

    realizando los pasos para eliminar el virus no me aparece el servicio con el nombre “netsvcs”. Que hago por donde lo busco????
    Por favor necesito su ayuda.
    GRACIAS

    Escrito en 27th enero 2009 a las 6:05

  4. juan ramirez:

    Amigos que interesante este articulo e instructivo articulo.
    lo leí y creo , sintemor a equivocarme que este virus ya no copia en el registro una carpeta con el nombre de netsvcs.
    Hay que buscar una carpeta en el registro con el nombre Netman osea HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netman cualquier cosa me avisan si estoy en un error
    ya no hay que buscar el proceso netsvcs con el services.msc, hay que buscar el servicio temas es ese el que hay que detener. cualquier informacion notifiquenme a mi coreo.

    NO A LOS VIRUS

    Escrito en 16th febrero 2009 a las 15:10

  5. Fernando:

    Hey! Gracias, es posible que te refieras a alguna modificacion o mutación del gusano. Este está mutándose en todo momento.
    Gracias!

    Escrito en 16th febrero 2009 a las 15:26

  6. eco:

    Pero eso que comenta juan ramirez es cierto?? es que existe una dll de micrososft que es la netman.dll (is a module that contains functions that are used by the Network Connections Manager) que esta relacionada con la ruta del registro que comenta la de “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netman” que resulta que es el servicio llamado “Conexiones de red” debido a su clave DisplayName y por cierto este servicio concretamente apunta a “C:\WINDOWS\System32\svchost.exe -k netsvcs” que resulta que es la suspuesta ruta del virus,
    ademas tambien tengo el servicio llamado “Temas” que tb apunta a “C:\WINDOWS\System32\svchost.exe -k netsvcs”
    vaya lio tengo montado alguien puede comprobar que esos servicio existen y son legitimos y a donde os apunta y tb podeis comprobar que esa clave del registro existe y es legitima, es que si esto no fuese normal y resultara ser una mutacion resultaria que estoy infectado, y ya he escaneado mi pc pero mi antivirus no encontro nada.

    Escrito en 17th febrero 2009 a las 3:58

  7. AntiVirus:

    Hola Eco, buenos dias
    Como dice Fernando, es posible que el virus haya mutado, pero la cuestión de cual es la dll que ataca es bastante complicado de gestionar. En el post comentamos que el fichero dll atacado es aleaotrio porque no se sabe que dll es, pero lo que si es cierto es que si paras el servicio, tal y como lo decimos en Como borrar el gusano Downandup, pasas el antivirus y retomas el normal funcionamiento de tu sistema, no deberás borrar ninguna dll.
    Si pasas el antivirus y ves que no hay virus, tienes la actualizacion de Microsoft instalada, ya deberías estar tranquilo.
    Saludos

    Escrito en 17th febrero 2009 a las 11:18

  8. eco:

    Hola AntiVirus gracias por tu respuesta pero el problema es que yo no tengo esa clave del registro y por consiguiente tampoco tengo ese servicio (netsvcs), pero como he comentado anteriormente sí tengo esos 2 servicios qque yo creia que eran servicios legitimos del windows pero que resulta que apuntan a la ruta que deberia tener el virus, y acabo de comprobar en otro windows y tambien estan, por lo que debo pensar que no estoy infectado, si dudas mira esos servicios en tu windows y comprobaras que apuntan a esa ruta, asi que lo que ha dicho juan ramirez que incluso comenta que avisemos si está en error me atraveria a decir que es falso por lo que yo no recomendaria detenerlos.

    Escrito en 17th febrero 2009 a las 16:25

  9. Roman Clavijo:

    Es terrible como a sucedido este virus, pero es “en el buen sentido de la palabra” Maravilloso y asombroso lo que hace, de acuerdo es una obra de arte. Lastima esas mentes se usen en artes oscuras y no en pro de ayudas a la humanidad, pero quizas esa es la esencia humana.

    Nuestra compañia brinda servicios de aseguramiento para evitar y como decia algun compañero del Blog, prevenir para luego no estar penando. Los invito a visitar http://www.talegux.com y nuestro blog talegux.blogspot.com

    Gracias!

    Escrito en 19th febrero 2009 a las 4:45

  10. Alex:

    El problema que tengo es que al tenerlo en el flash usb, encuentro los archivos autorun.inf y el recycler con el virus, pero… pero… pero… no puedo eliminarlo, al tratar de quitarle los atributos H S y R no me deja, con todos los derechos y demás… una formateada al usb con un utilitario y listo… en teoría… pero… que pasará que no funciona el attrib?

    Escrito en 4th marzo 2009 a las 6:03

  11. Tercera variante del Downandup/Conficker: W32 Downandup C | Antivirus, Antispam, Antispyware:

    [...] no podía ser de otra forma, ya apareció una nueva variante del Downandup, mucho mas virulenta que la anterior y permite el ejecutar instrucciones mucho mas poderosas y [...]

    Escrito en 9th marzo 2009 a las 18:19

  12. Maxi:

    Si aún no haz resuelto lo del recycled, descarga un freeware
    que se llama unlocker. Desbloquea el virus y te permite eliminarlo.

    Escrito en 31st marzo 2009 a las 15:09

  13. Guate Digital » Virus Conficker, Downadup y variantes:

    [...] Evitar infectarse, saber si se esta infectado… http://www.protegeme.es/antivirus/downandup-como-eliminarlo [...]

    Escrito en 31st marzo 2009 a las 21:34

  14. Nicolas Villarreal:

    Senores, ayuda, el virus me esta tumbando la red, paso el antivirus, lo elimina pero en 5 minutos regresa, como hago? no se si mi servidor lo tiene.

    COMO PUEDO SABERLO.

    Escrito en 3rd abril 2009 a las 21:44

  15. Emmanuel:

    Hola grax por tu ayuda y la informacion dada, sabes que me a ayudado a mi, el DeepFreeze, yo navego muxo por internet y grax a dios no tengo ningun registro de ese virus,quiero pensar que es por el DeepFreeze, utilisenlo espero que les sriva de muxo

    Escrito en 8th abril 2009 a las 3:24

  16. Sory:

    Nesesito ayuda pues tengo muchos virus y no se como eliminarlos tengo el recicler y su mutante y el autorum y este en su version b soy nueva en esto ademas mi antivirus se bloqueo asi de pronto y no se que hacer ya bloquee el autorum para evitar que los virus se propaguen pero nesesito ayuda para eliminar los que ya tengo. Mi correo es sonia_avgc@hotmail.com

    Escrito en 26th abril 2009 a las 19:43

  17. Darwin Pin:

    Tengo el no32 actualizado, en una ocasion instale el mozilla firefox en mi maquina parece que este instalador estaba infectado con el virus, ahora cuando trato de ingresar al navegador firefox me sale una advertencia del antivirus, indicando que hay un codigo malicioso C:\WINDOWS\SYSTEM\ABWDGSAQ.DLL codigo malicioso win/Conficker.AA (Gusano de Internet).
    El antivirus dice que puede eliminarlo, pero una vez que se reinicie el ordenador. Pero esto sucede cada vez que trato de ingresar al firefox aunque reinicie el computador.

    Escrito en 29th mayo 2009 a las 22:17

  18. JUAN PABLO:

    Hola tengo mi NOD32 actualizado y cuando quiero colocar mi memoria externa de 120 GB, el antivirus detecta el virus CONFICKER.IA worm pero no lo puede borrar ni curar, mi pregunta es que debo hacer, no quiero formatear la memoria externa por que perderia archivos valiosos, quiero saver si existe algun antivirus o como puedo borrar ese virus de mi memoria sin perder mis archivos ni contaminar mi computadora

    Escrito en 14th junio 2009 a las 18:31

  19. Klarys:

    Hola. Estoy en serias dificultades con mi computadora. Empezó apareciendo la ventana: Está infectado con variante modificada de win32/Conficker.AE.
    Tengo en Nd 32 actualizado, pero no elimina el gusano, cada vez mi computadora empeora. Hay páginas de internet que ya no puedo volver a ingresar desde mi pc, sale la alerta de que el vínculo está roto.
    Y ahora desconfiguró mi messenger live, lo desintalé y al volver a instalarlo, ya no se dejó. Aparece: vinculo roto. Yahoo va por las mismas cada vez, tiene alguna utilidad dañada. Intenté seguir los pasos arriba mencionados, pero esos servicios no me aparecen en mi lista. Auxilio!!!!

    Escrito en 4th julio 2009 a las 3:09

  20. Adriana cabrera:

    hola, buenas. quisiera ver si me pueden ayudar. ando con poca experiencia en cuanto a servidores. estoy manejando un servidor que controla aproximadamente 20 PC. mi servidor es windows server 2003. he notado que ultimamente le llegan muchas alertas de virus en la computadoras a mi red. ultimamente creo que el virus esta en el servidor debido a q me llega un aviso del mismo virus en 2 o 3 pc a la vez. alguien podria ayudarme

    Escrito en 28th agosto 2009 a las 18:47

  21. Adriana cabrera:

    como puedo eliminar un virus que nos esta afectando demaciado en nuestro servidor y esta en red con mas de 50 maquinas, vacunamos 1 se infectandos ya formateamos y no podemos eliminarlo ya estamos desesperados y no sabemos que hacer y el servidor no lo podemos formatear porque tiene un programa de contabilidad que tiene informacion de muchisimos años que hacemos?

    Escrito en 28th agosto 2009 a las 18:53

  22. @echo_off_NiTrO!:

    sencillamente una obra de arte
    es megapoderoso y me atreveria a decir hasta casi inteligente

    Escrito en 4th septiembre 2009 a las 21:14

  23. Ron:

    Hola a todos, espero les sirva esto: hay varias herramientas para descargar que eliminan este virus, prueben buscar en google. otra es muy importante es k desconecten de la red los equipos infectados y pasen estas utilerias. pruben con un antivirus llamado “Dr. WEB” este no se intala en sus maquinas solo sirve para desinfectar equipos “sucios” e instalen “AVG” a mi me ha funcionado.

    Escrito en 28th enero 2010 a las 20:00

  24. Cristián:

    Para detener y eliminar el archivo autorun.inf se puede hacer con el Winrar, este lo puede borrar en forma directa y revisar todos aquellos archivos asociados, suerte

    Escrito en 8th noviembre 2010 a las 21:07

  25. daniel:

    basura

    Escrito en 17th noviembre 2010 a las 2:05

Deje un comentario