Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.

Conficker (W32.Downadup) en Ubuntu

Created: 18 Mar 2013 • Updated: 13 Aug 2013 | 6 comments
This issue has been solved. See solution.

Buenos días, escribo la siguiente pregunta en este foro con el fin de que nos puedan dar respuesta a un caso que se ha presentado en nuestra corporación.

Usamos SEPM 12.1 para todos los clientes windows y estan correctamente protegidos, pero se nos ha presentado un caso de infeccion de conficker en un Ubuntu

Nos gustaria conocer si hay alguna forma de realizar la desinfección.Estamos pensando en :

-Instalar SAV para Linux

-Utilizar SERT (¿es compatible para Linux?)

Pero desconocemos si hay algun a otra opción o cual resultaria mas efectiva.

Espero vuestra respuestas.

Gracias

Operating Systems:

Comments 6 CommentsJump to latest comment

.Brian's picture

Conficker attacks Windows systems. If you don't have AV on the system, how do you know it is infected?

Is it possible you have another Conficker infected machine on your network which tried to attack the Ubuntu box?

Do you have a log that shows something.

But yes, you do want to put SAVFL on the Ubuntu box to keep it protected from threats.

Please click the "Mark as solution" link at bottom left on the post that best answers your question. This will benefit admins looking for a solution to the same problem.

Rafeeq's picture
Enable risk tracer and check the infection on your network
http://www.symantec.com/business/support/index?page=content&id=TECH94526
JM Jimenez's picture

Brian81 thank you very much for your early response.

We will try to get the event where it is determined that your computer is infected and put more information in this forum.
 

thanks

JM Jimenez's picture

Indeed the UBUNTU not infected.
Ubuntu is the proxy server.

We will use Risk Tracer to locate infected computers.

thanks

SOLUTION
.Brian's picture

Once you find the infected machine, remove it from the network and run a full scan with latest defs.

You can also download the conficker removal tool here:

https://www.symantec.com/security_response/writeup...

Make sure to patch the machine as well

Please click the "Mark as solution" link at bottom left on the post that best answers your question. This will benefit admins looking for a solution to the same problem.

Mithun Sanghavi's picture

Hola,

W32.Downadup.B es un gusano que se propaga mediante la explotación de Microsoft Windows Server Service RPC Manipulación remota de código vulnerabilidad de ejecución (BID 31.874). También intenta propagarse a unidades compartidas de red protegidas con contraseñas débiles y bloquear el acceso a sitios Web relacionados con la seguridad.
 
Si la IP en la alerta de bloque pertenece a una máquina desde la red después de que la máquina está infectada. Compruebe que ha instalado AV como mínimo, preferiblemente todas las características, y no faltan los parches de Microsoft, específicamente MS08-067.
 
Por favor revise el artículo de Symantec a continuación y obtener asistencia.
 
OS Ataque: MS Windows Server Service RPC Handling CVE-2008-4250
 
 
Microsoft Windows Server Service RPC Manejo de Vulnerabilidad de ejecución remota de código
 
 
Inaddition a esto, por favor revise el artículo de abajo y trabajar sobre el mismo.
 
1) las mejores prácticas para obtener información adicional sobre Downadup.B y lo mismo.
 
 
2) Medidas simples para protegerse del gusano Conficker
 
 
3) ¿Qué es Trazador de riesgo? http://www.symantec.com/docs/TECH102539
 
Los lectores de este tema podría estar interesado en el BLOG debajo del equipo de respuesta de seguridad de Symantec:
 
El Códice Downadup, edición 2.0
 
 
Espero que ayude!

Mithun Sanghavi
Senior Consultant
MIM | MCSA | MCTS | STS | SSE | SSE+ | ITIL v3

Don't forget to mark your thread as 'SOLVED' with the answer that best helped you.