19 febrero, 2009
El virus Conficker, también conocido como Downadup o Kido, fue el de mayor propagación de los últimos doce meses con más de 10 millones de computadoras infectadas; una tasa que lo hace comparable a las grandes epidemias generadas por nombres míticos como Iloveyou, Kournikova o Blaster.
El objetivo de esta amenaza informática es crear una gran red de computadoras-zombi controladas de forma remota, y se difunde aprovechando vulnerabilidades en los sistemas operativos no actualizados, aunque las versiones posteriores comenzaron a utilizar otros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.ini de los dispositivos de almacenamiento extraíbles, que le dieron nuevas vías de propagación.
Según Ralf Benzmüller, director de los laboratorios de seguridad de G Data, Conficker aprovecha una vulnerabilidad en el servicio RPC de Windows, ya solucionada por Microsoft, y tiene lugar enviando una petición inicial a la PC.
En caso de ser vulnerable, se envía un archivo malicioso que instala un servidor http y la ahora infectada PC envía otras peticiones de comprobación a otros equipos, enviando nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.
Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, pendrives, cámaras y similares.
Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día.
La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los atacantes darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.
El caso de Conficker demuestra la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota cada vez que da con él, es de dominio público desde octubre de 2008.
Desde entonces, Microsoft ha ofrecido la actualización necesaria, e incluso una recompensa de 250.000 dólares para quien logre solventar dicho agujero, pero ni los usuarios ni los programadores reaccionan a tiempo ni descargan y aplican el parche disponible.
Un factor digno de mención, y todavía más decisivo, es que en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los pendrives USB, uno de los principales caminos para la difusión de Conficker.
Una forma de saber si nuestro equipo está infectado puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan, o cuando no podemos acceder a sitios web con las secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes y portales de información sobre malware.
Asimismo, los administradores de red pueden saber cuáles son las PCs infectadas al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las páginas http://checkip.dyndns.org, http://getmyip.co.uk, y http://www.getmyip.org, y en base a la fecha, se calculan distintas direcciones actualizadas a través de los dominios ask.com, baidu.com, google.com, msn.com, www.w3.org y yahoo.com.
Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, convirtiendo la limpieza manual en una lucha titánica, se recomienda a los usuarios menos experimentados recurrir a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“) disponible en este enlace de la página de Microsoft.