Conficker

El virus Conficker, también conocido como Downadup o Kido, ha sido el de mayor propagación de los últimos doce meses, con el objetivo de crear una gran red de ordenadores-zombi, controlados de forma remota.

En poco tiempo infectó a más de 10 millones de ordenadores, y se calcula que a mediados de Enero ya había contaminado al 6% de los ordenadores de todo el mundo. Tan alta tasa de infecciones ha llevado a colocarlo en la lista de los virus con mayor índice de propagación, comparable a las grandes epidemias generadas como Iloveyou, Kournikova o Blaster.

¿Cuál es el grado de peligrosidad real de Conficker?

Conficker se aprovecha de una vulnerabilidad en el servicio RPC de Windows. El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

¿Cómo protegerse?

La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota una vez da con él, es de dominio público desde octubre de 2008.

* Microsoft ha ofrecido la actualización para solventar dicho agujero, pero por desgracia muchos responsables de red no han reaccionado a tiempo ni descargado y aplicado el parche disponible.
* utilización de contraseñas adecuadas de red y de cuentas de usuario. Una contraseña sencilla como “12345” o “admin” no proporciona seguridad alguna.
* No utilizar dispositivos extraíbles como los sticks USB (mecanismo de autoarranque)
ya que son uno de los principales caminos para la difusión de Conficker.

OpenDNS proporciona un servicio que reconoce los PCs de una red que han sido infectados por Conficker y bloquea el acceso a los 250 nuevos dominios botnet que se crean cada día. De esta forma, los PCs zombi infectados no reciben instrucciones de quien pretende controlarlos de forma remota, por lo que permanecen inactivos.

¿Cómo saber si Conficker ha infectado un ordenador?

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ [Random name for the service]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\[Random name for the service]\Parameters
ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:
Windows Security Center
Windows AutoUpdate
Windows Defender
Error Reporting Service

Impide el acceso a sitios web de los fabricantes de antivirus más importantes y portales de información sobre malware:

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“, „symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“, „etrust“, „networkassociates“, „computerassociates“, „f-secure“, „kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“, „drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,
„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“, „hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“, „prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“, „arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

http://checkip.dyndns.org
http://getmyip.co.uk
http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:
ask.com
baidu.com
google.com
msn.com
www.w3.org
yahoo.com
Los ordenadores que accedan a estos dominios pueden estar infectados.

¿Cómo deshacerse de Conficker?

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker

Videos:
http://www.youtube.com/watch?v=eoAYsGV5MkY
http://www.youtube.com/watch?v=5ET1ttfSMuc