Conficker, el gusano de las múltiples versiones

El 21 de noviembre de 2008 Conficker salió a la luz con otros nombres como Downup, Downandup o Kido, Sus principales víctimas eran ordenadores que utilizaban sistemas operativos de la familia Microsoft Windows.

El gusano aprovechaba una vulnerabilidad detectada en el servicio de Windows Server que afectaba a una gran parte de los sistemas operativos de la marca, incluyendo algunos tan utilizados como Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y 2008.

Fueron numerosas las versiones que surgieron de este virus con diferentes métodos de propagación de ataque, desde incluir código malicioso en correos electrónicos a modo de phishing hasta copiarse al sector Admin de máquinas con Windows. Pero la brecha principal de ataque que aprovechaba era una antigua vulnerabilidad para adivinar contraseñas y secuestrar equipos Windows con el objetivo de formar una gran botnet.

Debido a que el principal mecanismo de propagación era a través de una vulnerabilidad que ya había sido reportada y resuelta, la mayoría de empresas de seguridad no consideraron la amenaza como un problema importante. El cálculo de estas previsiones fue erróneo ya que en marzo de 2009 Conficker había infectado el 6% de ordenadores del mundo y representò el 25% de todo el malware que se había propagado ese año.

A través de una solicitud RCP se realizaba un desbordamiento de buffer en el equipo víctima, consiguiendo ejecutar una shell con la que descargaba y ejecutaba el virus. Si la máquina víctima era vulnerable, se lanzaba una conexión HTTP a través del puerto 1024 y 1000 para descargarse una copia del virus en forma de librería DLL.

Una vez que Conficker estaba en la maquina victima éste se copiaba como una librería propia del sistema. Cualquier punto de restauración que Conficker encontraba era eliminado.

A partir de aquí, el gusano va a intentar infectar más equipos a través de una conexión HTTP en un puerto aleatorio de la máquina. Después de averiguar cuál era la IP de la máquina donde estaba alojado, a través de consultas a páginas web como Checkmyip o Getmyip, dicha información es enviada al siguiente equipo víctima, mediante una nueva conexión HTTP, la cual se utilizaba para descarga nueva copia del virus.

Cuando Conficker había conseguido infectar un equipo éste desactivaba varios servicios:

  • Windows Update
  • Windows Security Center
  • Windows Defender
  • Windows Error Reporting

Conficker también era capaz de propagarse a través de las unidades del sistema, tanto extraíbles como compartidas, si alguno de estos recursos compartidos estaba protegido mediante contraseña, el gusano realizaba un ataque de diccionario que podía deshabilitar las políticas de seguridad del sistema debido a la gran cantidad de tráfico que se generaba. Cada vez que se infectaba un medio extraíble, el virus colocaba una copia de sí mismo en el archivo recycle.bin para intentar seguir infectando cualquier equipo donde fuera conectado el USB.

También era capaz de iniciarse en el arranque del sistema debido a que el virus guardaba una copia de la DLL, en la carpeta System o en la carpeta system32. Al guardar una copia de la librería en estas ubicaciones era imposible su eliminación aunque tuviéramos privilegios de administrador.

En el mes de Febrero de 2009 Microsoft ofreció una suculenta recompensa por toda aquella información veraz que llevará a identificar a la persona o grupo de personas que habían creado el gusano. Ese mismo año, el FBI comunicó que tras una investigación habían descubierto que la primera máquina que había sido infectada se había localizado en Ucrania. A día de hoy, todavía no se ha podido descubrir quién creó este malware.

El 15 de Octubre de 2008 Microsoft lanzó un parche que corregía la vulnerabilidad que el gusano utilizaba para acceder a los sistemas. Existen varias aplicaciones en la red creadas por empresas como SOPHOS, ESET, Panda Security, Symantec o Kaspersky que parchean dicha vulnerabilidad.

Posteriores versiones de Conficker, además de dificultar su detección y desinfección utilizaban nuevos métodos de propagación:

  • Dejando copias sí mismo en las carpetas compartidas de Microsoft.
  • Compartiendo información de manera forzada a través de P2P.

“¿Estoy infectado por Confiker?”

Si todavía no sabe si alguno de sus equipos está infectado por este virus, éstos son algunos de los típicos síntomas que produce Conficker en los ordenadores:

  • Algunos servicios de Microsoft se habrán desactivado.
  • Gran congestión de red debido a la gran cantidad de peticiones ARP.
  • Sitios web relacionados con antivirus inaccesibles.
  • Posibles bloqueos en las cuentas de usuarios.

 

– monitoreo.com

Deje un comentario

WhatsApp chat