Auto-Propagación por Internet: Aprovechándose de la vulnerabilidad CVE-2008-4250, la cual ya fue solucionada por Microsoft el paso Octubre con el parche MS08-067 Auto-Propagación por Red Interna: A través de carpetas compartidas en red protegidas con contraseñas débiles, Conficker tiene la capacidad de ir infectando a toda nuestra red en solo minutos. Auto-Propagación por USB: Mediante cualquier dispositivo de almacenamiento extraíble por USB (Pendrives, Flashmemory, Cámaras, discos duros, etc..) creando un archivo autorun.inf infectado cuya acción sea autoejecutar la copia del gusano cada vez que conectamos el dispositivo extraíble a un PC.
una vez vistos hay que ver sus síntomas y hay que seguir pasos precisos para eliminarlo completamente como nos indican en forospyware o Kaspersky.
Al ser un gusano muy escurridizo nos podemos vamos a valer de nmap para detectar el problema al entrar en una nueva red. Nmap mediante este script podemos analizar la red en busca de ordenadores infectados como indica en su web.
Una vez visto extraemos un ejemplo el cual nos permite escanear toda la red en busca del conficker y al final indicamos dependiendo en la subred que estemos, en el caso del ejemplo "192.168.1.0/24".

nmap -p139,445 -vv --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args=checkconficker=1,safe=1 -T4 192.168.1.0/24
Como se ve escanea todo los posibles hosts.
Al final, se muestra un pequeño resumen.
Y por último si queremos un escaneo, mas completo y lento iniciamos el siguiente script.
nmap --script p2p-conficker,smb-os-discovery,smb-check-vulns -p- --script-args=checkall=1,safe=1 -vv -T4 192.168.1.0/24
Una vez localizado, iniciaremos los pasos para la eliminación de los equipos, para ello podemos seguir los pasos que nos indican en forospyware o en kaspersky.
