Mientras los investigadores de la Universidad de Michigan están intentando averiguar de dónde viene el virus Conficker, utilizando numerosos sensores disponibles en la web, para hacer un seguimiento del “momento cero” a partir del cual se generó el gusano que ya infectó a más de diez millones de computadoras, también se dio a conocer que está previsto que el próximo 1 de abril se active una nueva versión de esta peligrosa amenaza.
Los sensores que utiliza la institución para identificar a la primera víctima de Conficker se denominan “darknet” y fueron instalados hace unos seis años en internet para hacer un seguimiento de la actividad maligna que se desarrolla en ella.
Además de los darknet, los científicos cuentan con el apoyo del Departamento de Seguridad Nacional de Estados Unidos, con el que colaboran para compartir la información recopilada de estos sensores que están instalados en todo el mundo.
“El reto es conocer todo al detalle para poder situar en el mapa dónde empezó todo”, señaló Jon Oberheide, estudiante de la mencionada universidad e implicado en el proyecto.
Obviamente no se trata de un trabajo sencillo. Para encontrar estas pequeñas pistas que pudieran detectar a la primera víctima de Conficker, los investigadores deberán indagar entre más de 50 TB de información.
Asimismo, cabe señalar que Conficker se convirtió en un complejo sistema multi-modular que continuamente muta hacia nuevas versiones, con una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo y se ayuda de servidores sin importar si están comprometidos o no por su ataque.
Algunos analistas del sector ya están comparando la eficacia de este código malicioso con la de “Storm Worm” o “Storm Virus”, que se popularizó a finales de 2006 como malware de rápida distribución, con decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de spam en la bandeja de entrada de los email.
Con respecto al proyecto de investigación relacionado con la actividad vírica en Internet, no es la primera vez que se pone en marcha una idea de este tipo, dado que en el 2005 los militares estadounidenses hicieron algo parecido con el gusano Witty que se propagó en 2004, y del cual se supo que fue una dirección IP europea la que inició el ataque.
Entre tanto, el éxito relativo o no de Conficker anima a las compañías antivirus a lanzar alertas de las que hacía años que no se emitían, y a poner a disposición de los usuarios herramientas gratuitas para que puedan deshacerse de este virus, que ojalá sirvan para prevenir o detener la nueva versión del ataque, prevista como dijimos, para el 1 de abril próximo.