El virus Conficker, también conocido como Downadup o Kido, fue el de mayor propagación de los últimos doce meses con más de 10 millones de computadoras infectadas; una tasa que lo hace comparable a las grandes epidemias generadas por nombres míticos como Iloveyou, Kournikova o Blaster.
El objetivo de esta amenaza informática es crear una gran red de computadoras-zombi controladas de forma remota, y se difunde aprovechando vulnerabilidades en los sistemas operativos no actualizados, aunque las versiones posteriores comenzaron a utilizar otros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.ini de los dispositivos de almacenamiento extraíbles, que le dieron nuevas vías de propagación.
Según Ralf Benzmüller, director de los laboratorios de seguridad de G Data, Conficker aprovecha una vulnerabilidad en el servicio RPC de Windows, ya solucionada por Microsoft, y tiene lugar enviando una petición inicial a la PC.
En caso de ser vulnerable, se envía un archivo malicioso que instala un servidor http y la ahora infectada PC envía otras peticiones de comprobación a otros equipos, enviando nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.
Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, pendrives, cámaras y similares.
Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día.
La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los atacantes darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.
El caso de Conficker demuestra la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota cada vez que da con él, es de dominio público desde octubre de 2008.
Desde entonces, Microsoft ha ofrecido la actualización necesaria, e incluso una recompensa de 250.000 dólares para quien logre solventar dicho agujero, pero ni los usuarios ni los programadores reaccionan a tiempo ni descargan y aplican el parche disponible.
Un factor digno de mención, y todavía más decisivo, es que en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los pendrives USB, uno de los principales caminos para la difusión de Conficker.
Una forma de saber si nuestro equipo está infectado puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan, o cuando no podemos acceder a sitios web con las secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes y portales de información sobre malware.
Asimismo, los administradores de red pueden saber cuáles son las PCs infectadas al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las páginas http://checkip.dyndns.org, http://getmyip.co.uk, y http://www.getmyip.org, y en base a la fecha, se calculan distintas direcciones actualizadas a través de los dominios ask.com, baidu.com, google.com, msn.com, www.w3.org y yahoo.com.
Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, convirtiendo la limpieza manual en una lucha titánica, se recomienda a los usuarios menos experimentados recurrir a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“) disponible en este enlace de la página de Microsoft.
Oh!!! Maldito Virus, hoy me mato la maquina del trabajo, segun me informo el chico de sistemas, estoy al horno… tengo que tratar de salvar mis archivos mas importantes para que me formateen la PC…
Jodido el bichito!…
que mala suerte che toscana, pero te admiro, de tener las ganas de volver a formatear todo de vuelta, seguro qeso fue un embole jeje
A mi me paso algo, que demuestra la forma de actuar de este virus. despues de luchar 2 meses, formateamos la pc, actualizamos antivirus, y ademas baje de Microsoft el antivirus para este en especial.
una vez echo esto, estaba mas que contento. Al rato,mi hija trae la camara de fotos, una sony Cibershot.con memo de 1gb. para que baje las fotos.
Atenti! pc recien formateada. enchufo la camara y ZAS!!, saltan los dos antivirus con ventanas de advertencia, accion del Conficker , no recuerdo que version. La cuestion fue, que el virus estaba alojado en LA CAMARA DIGITAL !!!!
LA UNICA FORMA DE BORRARLO ES HACER UN FORMATEO COMPLETO, NI RAPIDO NI NADA,COMPLETO. De esa forma pudimos sacar e lvirus del pendrive y la camara. espero que les sirva.
Toscana
podrían dar un enlace que no este en alemán… apenas domino el castellano, chapurreo el ingles y nos mandan a una pagina en alemán…. jeje. para dar una idea del virus del momento no esta mal el articulo (orientado a usuarios sin mucho conocimiento)
bender, este muchacho matias siempre tiene algo lindo que decir de microdoft, aunque ande para el tuje, es un fiel lamebotas de microsoft…no lo encontraras opinar de otra cosa que no sea de microsoft…
Yo por suerte no he sentido ningún efecto del virus.
Administro una red WMAN de 31 equipos y ninguno está infectado por políticas de uso, y un servidor que mantiene HTTP, FTP, consultor SQL interno de la empresa (no es SQL Server ni MySQL, sino uno desarrollado para evitar manejo por terceros -bugs) y mensajería entre las provincias las 24hrs.
Lo importante es lo siguiente:
1.- Es necesario el uso de pendrives, pero es mejor en una empresa es mantener los pendrives controlados (el acceso de los mismos debería ser limitado), una herramienta llamada Flash_Disinfector que crea una carpeta de sistema llamada Autorun.inf que bloquea la creación del autorun por un virus es una buena idea para evitar las infecciones por pen drives (los diskettes ya murieron, y los CD’s/DVD’s están prohibidos porque no es necesario el uso de los mismos).
2.- Mantener un antivirus actualizado en equipos con acceso externo (Avast! o Avira), algunos equipos no tienen acceso externo (puestos de trabajo) y colocar un antivirus sólo reduciría el rendimiento final.
3.- Bloquear todos los puertos del equipo con Windows Firewall (el que trae Windows nunca me trajo complicaciones, porque lo que quería es que cierre todos los puertos), además de deshabilitar el servicio UPnP.
4.- Políticas de uso: Impedir el uso del equipo para fines personales. De encontrarse el equipo infectado, se mantiene una partición para datos y la del sistema no es problema de ser formateada en el caso que tome demasiado tiempo una desinfección manual.
5.- No hay recursos compartidos en la red excepto impresoras (el compartir archivos de información se mantiene a través de un programa interno).
Son puntos que manejo para poder mantener sin infección alguna los equipos de la empresa y los únicos problemas que suceden son los comunes (suciedad, tensión -pobres estabilizadores y una que otra consulta).
Espero que alguno le sirva esta información para poder ponerla en práctica, no siempre tener Windows actualizado es la mejor solución (los tengo en SP3 sin upgrades adicionales), los programas creados en la empresa brindan más seguridad, pues los atacantes desconocen el funcionamiento del mismo y la forma de invadirlo, que es diferente de un sistema que es fácil de acceder (en un medio de soporte) e investigar el funcionamiento para difundirlo.
Saludos!
A mi me funciona Bender. Y definitivamente no es cada 2 segundos. De hecho, he notado que aparece muy poco.
Solo cuando quiero instalar algo nuevo, cuando meto un pen drive o algun CD que tenga algun AUTORUN, o cuando algun programa quiere levantar un puerto para conectarse a algo. Y esto ultimo, siempre y cuando no haya agregado dicho programa al FireWall de Windows.
Ah, sí, está bárbaro que Vista te pregunte cada dos segundos si estás seguro que querés hacer lo que realmente querés hacer. Se me hace que es como tener una persona en tu casa que durante el invierno te advierta 100 veces por día que salgas abrigado, cierres las ventanas, etc, cada vez que te moves. Así evitas resfriarte. Genial!
Que bueno que tengo la UAC :)… muchas veces me han saltado alertas de virus y no por el antivirus, si no, por la tan odiada UAC de Vista.
Este virus es jodido, laburo en una red grande e infecta como si nada. Tuvimos que aplicar todos las parches de manera manual para evitar que se siguiera propagando. Tengan cuidado los que administran sistemas.
Voy a tratar de averiguar por lo menos un nobre de unos de los creadores de ese malicioso virus deseenme suerte!!!!!!!!!! nesecitaria un poco de ayuda de red users que seguro son expertos en el tema, estoy casi seguro de que el virus proviene de EE.UU.