Origen del nombre
Fue bastante extendida la etimología del nombre del gusano como un calambur alemán, o devian como el demonio de 5 ojos ya que "conficker" se pronuncia en alemán como la palabra inglesa "configure" (configuración), y la palabra alemana ficker es un equivalente obsceno de la palabra castellana joder, por lo que conficker sería como programa que estropea la configuración,[4] [5] aunque en un sitio de Microsoft se explica que el nombre proviene de seleccionar partes del dominio trafficconverter.biz que aparece en su código:
trafficconverter.biz =>(fic)(con)(er) => (con)(fic)(+k)(er) => conficker.
Operación
El gusano se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo. Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima.[8] El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe.[9]
Impacto y reacción
Ofrecimiento de recompensa
El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250,000 a quien entregara información que llevará al arresto y encarcelamiento de los criminales tras la creación del gusano. El pasado mes de marzo el FBI comunicó al Grupo de Delitos Telemáticos de la Guardia Civil que habían comenzado una investigación para descubrir al caso cero, el primer infectado con el gusano Conficker, e informaron que "el primer caso" había sido desde Palau-solità i Plegamans[10] [11]
Contagio mundial El gusano había contagiado el 6% de las computadoras del mundo para marzo de 2009,[12] un 8% en América latina, y en Argentina llegó al 25% de todo el malware propagado durante enero.[13] Sin embargo, y aunque existen variantes que son capaces de crear 50.000 URL falsas para propagarse, el número de contagiados comenzó a decrecer.[14]
Investigadores de la Universidad de Míchigan comenzaron una investigación en marzo de 2009 para descubrir al caso cero, el primer infectado con el gusano, usando sensores darknet, e intentar localizar a sus creadores, pero los sensores Darknet no siempre son efectivos, Boixnet uno de hackers catalanes con más reconocimiento en barcelona lo explicaba en su conferencia, " Versiones modificada conficker: la nueva generación de virus ".[15]
El 26 de marzo se anunció un posible ataque masivo para el 1 de abril de 2009, el día de los inocentes estadounidense,[12] [15] que no ocurrió, aunque aparecieron versiones modificadas del gusano con mejores
defensas.
Sigue Creciendo y desbordando
A finales de mes los investigadores descubrieron una nueva variante del malware circulando por Internet. Desde entonces, el hecho de que no se produjeran alarmas significativas ha hecho que Conficker haya pasado página aunque los investigadores de Symantec nos acaban de recordar que el gusano sigue activo, capaz de incorporar a su red de boixnet 50.000 nuevos sistemas cada día.
Parchado y eliminación
El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que corrige la vulnerabilidad de la que se
aprovecha el gusano.[17] Existen herramientas de eliminación de Microsoft,[18] SOPHOS,[19] ESET,[20] Panda Security,[21] Symantec,[22] Kaspersky Lab, TrendMicro,[23] de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.
No hay comentarios:
Publicar un comentario