Éxitos y fracasos del Malware Conficker


Si algo ha conseguido Conficker, es generar expectación mediática. Alentado por las casas antivirus, que no pasan por su mejor momento en nivel de detección global, Conficker ha servido para recordar al mundo que existen todavía amenazas globales en forma de malware con nombre y apellido. Conficker, cabeza de turco frente a otros tipos de malware anónimos y mucho más peligrosos, ha gozado de algunos éxitos rotundos, tanto mediáticos como técnicos que vamos a repasar.





Éxitos mediáticos

* Poco queda del Conficker original que apareció en noviembre. Se ha convertido, como todo malware 2.0 que se precie, en una sofisticada red de sistemas y servidores, como ocurrió con el Storm Worm. Alguien a quien señalar con el dedo y que recuerde al público (consumidor de software) que las casas antivirus siguen ahí. El miedo incita a protegerse.

* Conficker se ha centrado, durante mucho tiempo, más en la expansión que en el ataque. Se ha dedicado a recopilar máquinas infectadas sin un fin concreto (al menos que conozcamos por ahora). Este pequeño misterio ha atraído la atención de las casas antivirus, y por tanto de los medios.

* El éxito incluso le ha llegado de formas muy retorcidas. La proliferación de programas legítimos y específicos para desinfectar el sistema ha plagado las primeras búsquedas de Google de software falso. Es fácil encontrar con cualquier buscador, malware que dice ser un limpiador de Conficker.

* Establecer una fecha de apocalipsis vende mucho. Como hicieran el virus Viernes 13, Michelangelo... recuerda viejos tiempos, siempre mejores para las casas antivirus. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Nada ha ocurrido, como era de esperar. Es imposible que algo que genera tanta expectación cause un gran impacto. La gente tiende a prepararse para mitigar el ataque. Cuando algo viene por sorpresa, cuando no hay fecha establecida, es cuando el impacto se puede considerar verdaderamente serio.

Éxitos técnicos

* El mayor éxito de expansión de Conficker ha sido a través de las memorias USB. Pero no solo el hecho de adoptar esa estrategia, sino cómo lo ha hecho. Por primera vez, creó un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido. Logró saltarse los métodos básicos de bloqueo de autoejecución de Windows.

* Siguiendo con el autorun, pudo disimular su ejecución mostrándose como la exploración de carpetas. Es un engaño muy conseguido. El uso de contraseñas por defecto también proporcionó numerosas alegrías a los atacantes.

* Uno de los éxitos técnicos más curiosos ha sido el uso de miles de dominios. El malware actual suele contener un algoritmo interno para generar dominios aleatorios (que probablemente no existen), desde donde descargarán nuevas funcionalidades. Los atacantes compran los dominios y cuelgan en ellos la actualizaciones para que el malware salga a buscarlas cuando los genere internamente. Cuando un laboratorio consigue descifrar ese algoritmo de generación, suele adelantarse a los atacantes y registrar ellos mismos esos dominios. Así podemos saber, según las visitas que reciba el dominio, el número de infectados. Normalmente el malware genera un número manejable de dominios cada día, y los atacantes registran solo algunos. Aunque se descifró el algoritmo de generación de dominios de Conficker, este pasó a generar 50.000 dominios aleatorios (de 4 a 9 letras) al día. Tanto dominio, por supuesto haría que muchos de los generados coincidiesen con dominios ya registrados y legítimos que todos los sistemas infectados visitarían. Los medios advirtieron que Internet se colapsaría por esta razón el 1 de abril.

Fracasos técnicos

* Pocos. Prácticamente su único problema ha sido la detección. Toda versión conocida de Conficker es detectada normalmente por más del 90% de los motores que alojamos en VirusTotal. Las casas se han volcado con él y lo detectan casi unánimemente. Es por eso que Conficker, aunque interesante, pasa automáticamente a ser una amenaza de mucho menos calibre. ¿Qué hubiera pasado si a pesar de toda esa cobertura mediática, los niveles de detección fuesen bajos? No es posible esta combinación. Cuanto más se hable de un malware, más detectado es. La pregunta es qué hubiera ocurrido sin esta cobertura mediática. La respuesta es que los niveles de detección hubieran sido mucho menores, y la infección mucho más discreta y mayor. En otras palabras, lo mismo que está ocurriendo ya con el resto del malware industrial, mucho más abundante, que se crea hoy en día. Los verdaderamente peligrosos que no aparecen en titulares.

Porque, ¿qué puede resultar más peligroso?, este ejemplar:

http://www.virustotal.com/analisis/963521ca26f84db93146f0b7891d0f1f

o este:

http://www.virustotal.com/analisis/07cd5b586a82487949ba18d03bdab8c7

El primero es un Conficker detectado por el 95% de los motores. El segundo es un troyano especialmente destinado al robo de contraseñas, que lleva más de un mes en nuestra base de datos. En ningún momento ha sido detectado por más de dos motores.

Conficker es peligroso, no cabe duda, es una grave plaga que hay que combatir. Pero no es el único malware contra el que se debe luchar.

Más Información:

01/03/2009 ¿Aprende Conficker más rápido que los internautas?
http://www.hispasec.com/unaaldia/3781

19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740

12/01/2009 El gusano Conficker consigue niveles aceptables de infección, al fin y al cabo
http://www.hispasec.com/unaaldia/3733

Fuente:
Por Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Fallo de detección de virus en archivos ZIP
e ha reportado que múltiples productos antivirus son propensos a una vulnerabilidad que podría permitir que un código potencialmente peligroso dentro de un archivo .ZIP, eluda la detección del antivirus afectado....
Botnet controlada desde grupos de noticias
Symantec anuncia que ha descubierto la primera botnet de troyanos controlada desde grupos de noticias o newsgroups. Antes ya se habían detectado troyanos distribuyéndose por grupos de noticias, pero es la primera vez que se ve el uso de este medio ...
Microsoft, Apple y otras 27 compañías apoyan a #SOPA
Leo en Bitelia.com que Apple, Microsoft y otras 27 compañías se muestran a favor de la aprobación de esta desastroza ley....
Google Wave, como usarlo!
La idea de Google Wave es volver obsoleto (fue creado con la idea que muchas de las herramientas que hemos usado en Internet son viejas y no están realmente adaptadas a esa forma en que estamos usando el Internet hoy en día, donde el tiempo real, e...
Panda Software informa de la aparición del gusano Sober.A
PandaLabs ha detectado la aparición de un nuevo gusano denominado Sober.A (W32/Sober.A.worm), que ya ha comenzado a provocar algunas incidencias entre los equipos de los usuarios. Se trata de un código malicioso diseñado para propagarse r...
Vulnerabilidades en el protocolo TCP
El CERT acaba de publicar un aviso (Vulnerabilities in TCP) sobre una vulnerabilidad en el protocolo TCP que puede ser utilizada por realizar ataques de Denegación de Servicio (DoS) en aquellos servicios que se basan en la utilización de sesio...
Las 300 mejoras de Apple
Apple ha publicado una lista de las 300 nuevas características de Leopard que harán temblar los escritorios de los usuarios a partir del 26 de Octubre....
Naciones Unidas recomienda el uso de software libre.
La ONU recomienda la utilización y el fomento del software libre tanto en el seno de la organización como entre los países miembros, dijo el inspector de Naciones Unidas Dominique Ouredrago, que participó en la cl...
Software libre en Venezuela
Quienes tuvieron la oportunidad de asistir el viernes 29 de julio de 2005 al Foro-Taller Software Libre en el Estado , realizado en el Auditorium del Ministerio de Ciencia y Tecnología, organizado por la Oficina de Tecnologías de In...
Apple Remote Desktop no cifraba el tráfico
Se ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder a información sensible....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • conficker
  • debian
  • exitos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • fracasos
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra