El nuevo gusano Downadup ya infectó a 10 millones de computadoras y apenas iniciado el año se convirtió en el enemigo número 1 de los usuarios: en esta nota te decimos cómo opera.
En principio, el virus estival actúa contra los programas antivirus, ya que entra en las memorias de las computadoras y no deja acceder a los sitios Web de las empresas que diseñan los escudos contra el todos los malwares.
Conocido también como Conficker, se cree que es capaz de utilizar a los equipos infectados para su propio provecho, creando una botnet (utilizarlos en red de manera automática, sin el consentimiento de los usuarios).
Además atacaría el sistema de seguridad de Windows. Una de las grandes sorpresas es que su primera ofensiva había sido en octubre, por lo cual Microsoft ya había diseñado un programa de defensa.
Pero claro, no todo el mundo la instaló, con lo cual muchas computadoras quedaron a merced de este nuevo peligro informático.
Lo malo es que se transmite de varias maneras: a través de mails, de pendrives o cualquier medio extraíble y se puede copiar a sí mismo a través de redes de computadoras. Pero ojo, porque también es capaz de mutar y resultar imposible de detectar.
Las recomendaciones más importantes para impedir la propagación de este tipo de virus son:
- Tener instalado un buen programa antivirus (de paso, que incluya también un firewall y un anti-spyare) y actualizarlo periódicamente.
- Jamás abrir un mensaje de correo electrónico sin saber de quien proviene. Incluso, si se conoce al emisor, preguntarle si envió un mensaje.
- Tampoco conviene visitar sitios de Internet que no hayan sido escaneados previamente por los programas de seguridad.
- Analizar antes de conectar cualquier dispositivo extraíble, como un pendrive.
- Las carpetas compartidas en red deben tener una contraseña importante.
Conficker: todo lo que hay que saber sobre el virus más propagado (19/02/2009)El virus Conficker, también conocido como Downadup o Kido, fue el de mayor propagación de los últimos doce meses con más de 10 millones de computadoras infectadas; una tasa que lo hace comparable a las grandes epidemias generadas por nombres míticos como Iloveyou, Kournikova o Blaster.
El objetivo de esta amenaza informática es crear una gran red de computadoras-zombi controladas de forma remota, y se difunde aprovechando vulnerabilidades en los sistemas operativos no actualizados, aunque las versiones posteriores comenzaron a utilizar otros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.ini de los dispositivos de almacenamiento extraíbles, que le dieron nuevas vías de propagación.
Según Ralf Benzmüller, director de los laboratorios de seguridad de G Data, Conficker aprovecha una vulnerabilidad en el servicio RPC de Windows, ya solucionada por Microsoft, y tiene lugar enviando una petición inicial a la PC.
En caso de ser vulnerable, se envía un archivo malicioso que instala un servidor http y la ahora infectada PC envía otras peticiones de comprobación a otros equipos, enviando nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.
Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, pendrives, cámaras y similares.
Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conficker genera 250 nuevos nombres de dominio al día.
La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los atacantes darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.
El caso de Conficker demuestra la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota cada vez que da con él, es de dominio público desde octubre de 2008.
Desde entonces, Microsoft ha ofrecido la actualización necesaria, e incluso una recompensa de 250.000 dólares para quien logre solventar dicho agujero, pero ni los usuarios ni los programadores reaccionan a tiempo ni descargan y aplican el parche disponible.
Un factor digno de mención, y todavía más decisivo, es que en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los pendrives USB, uno de los principales caminos para la difusión de Conficker.
Una forma de saber si nuestro equipo está infectado puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan, o cuando no podemos acceder a sitios web con las secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes y portales de información sobre malware.
Asimismo, los administradores de red pueden saber cuáles son las PCs infectadas al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las páginas http://checkip.dyndns.org, http://getmyip.co.uk, y http://www.getmyip.org, y en base a la fecha, se calculan distintas direcciones actualizadas a través de los dominios ask.com, baidu.com, google.com, msn.com, www.w3.org y yahoo.com.
Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, convirtiendo la limpieza manual en una lucha titánica, se recomienda a los usuarios menos experimentados recurrir a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“) disponible en este enlace de la página de Microsoft. http://www.microsoft.com/downloads/details.aspx?familyid=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en
Conficker evoluciona a una versión más peligrosa (20/02/2009)Los atacantes que están detrás del gusano Conficker, también conocido como Downadup, lanzaron una nueva versión del malware que puede suponer un gran cambio en la manera en la que funciona este peligroso virus.
Así, la amenaza que en los últimos meses dejó a todas las demás infecciones informáticas en el camino, afectando más de 13.000 equipos y controlado más de 1.5 millones de direcciones IP a nivel mundial, ya dispone de una variante conocida como B++, que se parece bastante al primer Conficker, aunque utiliza una nueva técnica para descargar software, lo que les da a sus creadores más flexibilidad sobre lo que pueden hacer en las computadoras infectadas.
B++ se distribuye como un archivo DLL de Windows, tiene la capacidad de aceptar y validar a distancia las URL y los binarios de Win32, marcando un cambio importante en las estrategias utilizadas por los autores del Conficker originario para sacar partido de sus ataques.
Además, la actualización de Conficker cuenta con un nuevo método para la recuperación remota de los binarios de Win32, basado en el uso de un mensaje para la recepción de las URL de los sistemas remotos.
El mensaje se interpreta como una cadena que representa una dirección URL que se utiliza para descargar un archivo ejecutable, que es validado de forma automática mediante la firma de verificación y el inseguro algoritmo de criptografía RC4.
Con Conficker B++, las máquinas infectadas también podrían ser utilizadas para diversos propósitos, como enviar spam, instalar aplicaciones para robar contraseñas o enviar ataques de denegación de servicio (DoS).
Para visualizar el análisis completo del nuevo Conficker, visita este enlace: http://mtc.sri.com/Conficker/ (Esta en inglés)
No hay dos sin tres: Conficker ya tiene una tercera variante (9/03/2009)La firma de seguridad Symantec acaba de identificar la tercera versión del gusano Conficker, también conocido como Downadup, que sería la más agresiva conocida y lleva el nombre de W32 Downadup C.
Esta nueva variante de Downadup/Conficker consiste en realidad en un componente modular dirigido contra máquinas ya afectadas por el gusano, pero no está diseñada para autoreplicarse, como sí ocurría con sus predecesoras, semejándose más al perfil de un troyano que al de un gusano.
No obstante, W32 Downadup C permite transmitir a las computadoras infectadas instrucciones más poderosas para, entre otras acciones maliciosas, desactivar software antivirus y herramientas de análisis que pudieran poner en peligro el éxito de sus ataques.
Las generaciones anteriores de Downadup ya intentaban deshabilitar el software antivirus de las máquinas tomadas como víctimas, pero en esta ocasión, el malware está diseñado principalmente para desencadenar acciones de inmunidad frente a los sistemas de seguridad presentes en las máquinas basadas en Windows ya infectadas.
De acuerdo a Vincent Weafer, vicepresidente de Symantec Security Response,
“debe pensarse en este malware como si se tratara de un módulo de actualización que hace al software original más agresivo, más fuerte y capaz de defenderse a sí mismo”.
La tercera versión de Conficker fue descubierta el viernes por Symantec, cuyos expertos todavía están investigando la nueva amenaza y esperan poder informar y dar detalles sobre sus características adicionales en pocos días.
Conficker prepara un nuevo ataque para el 1 de abril (20/03/2009)Mientras los investigadores de la Universidad de Michigan están intentando averiguar de dónde viene el virus Conficker, utilizando numerosos sensores disponibles en la web, para hacer un seguimiento del “momento cero” a partir del cual se generó el gusano que ya infectó a más de diez millones de computadoras, también se dio a conocer que está previsto que el próximo 1 de abril se active una nueva versión de esta peligrosa amenaza.
Los sensores que utiliza la institución para identificar a la primera víctima de Conficker se denominan “darknet” y fueron instalados hace unos seis años en internet para hacer un seguimiento de la actividad maligna que se desarrolla en ella.
Además de los darknet, los científicos cuentan con el apoyo del Departamento de Seguridad Nacional de Estados Unidos, con el que colaboran para compartir la información recopilada de estos sensores que están instalados en todo el mundo.
“El reto es conocer todo al detalle para poder situar en el mapa dónde empezó todo”, señaló Jon Oberheide, estudiante de la mencionada universidad e implicado en el proyecto.
Obviamente no se trata de un trabajo sencillo. Para encontrar estas pequeñas pistas que pudieran detectar a la primera víctima de Conficker, los investigadores deberán indagar entre más de 50 TB de información.
Asimismo, cabe señalar que Conficker se convirtió en un complejo sistema multi-modular que continuamente muta hacia nuevas versiones, con una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo y se ayuda de servidores sin importar si están comprometidos o no por su ataque.
Algunos analistas del sector ya están comparando la eficacia de este código malicioso con la de “Storm Worm” o “Storm Virus”, que se popularizó a finales de 2006 como malware de rápida distribución, con decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de spam en la bandeja de entrada de los email.
Con respecto al proyecto de investigación relacionado con la actividad vírica en Internet, no es la primera vez que se pone en marcha una idea de este tipo, dado que en el 2005 los militares estadounidenses hicieron algo parecido con el gusano Witty que se propagó en 2004, y del cual se supo que fue una dirección IP europea la que inició el ataque.
Entre tanto, el éxito relativo o no de Conficker anima a las compañías antivirus a lanzar alertas de las que hacía años que no se emitían, y a poner a disposición de los usuarios herramientas gratuitas para que puedan deshacerse de este virus, que ojalá sirvan para prevenir o detener la nueva versión del ataque, prevista como dijimos, para el 1 de abril próximo.
Espero que les sirva esta info!