Éxitos y fracasos del Malware Conficker


Si algo ha conseguido Conficker, es generar expectación mediática. Alentado por las casas antivirus, que no pasan por su mejor momento en nivel de detección global, Conficker ha servido para recordar al mundo que existen todavía amenazas globales en forma de malware con nombre y apellido. Conficker, cabeza de turco frente a otros tipos de malware anónimos y mucho más peligrosos, ha gozado de algunos éxitos rotundos, tanto mediáticos como técnicos que vamos a repasar.





Éxitos mediáticos

* Poco queda del Conficker original que apareció en noviembre. Se ha convertido, como todo malware 2.0 que se precie, en una sofisticada red de sistemas y servidores, como ocurrió con el Storm Worm. Alguien a quien señalar con el dedo y que recuerde al público (consumidor de software) que las casas antivirus siguen ahí. El miedo incita a protegerse.

* Conficker se ha centrado, durante mucho tiempo, más en la expansión que en el ataque. Se ha dedicado a recopilar máquinas infectadas sin un fin concreto (al menos que conozcamos por ahora). Este pequeño misterio ha atraído la atención de las casas antivirus, y por tanto de los medios.

* El éxito incluso le ha llegado de formas muy retorcidas. La proliferación de programas legítimos y específicos para desinfectar el sistema ha plagado las primeras búsquedas de Google de software falso. Es fácil encontrar con cualquier buscador, malware que dice ser un limpiador de Conficker.

* Establecer una fecha de apocalipsis vende mucho. Como hicieran el virus Viernes 13, Michelangelo... recuerda viejos tiempos, siempre mejores para las casas antivirus. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Nada ha ocurrido, como era de esperar. Es imposible que algo que genera tanta expectación cause un gran impacto. La gente tiende a prepararse para mitigar el ataque. Cuando algo viene por sorpresa, cuando no hay fecha establecida, es cuando el impacto se puede considerar verdaderamente serio.

Éxitos técnicos

* El mayor éxito de expansión de Conficker ha sido a través de las memorias USB. Pero no solo el hecho de adoptar esa estrategia, sino cómo lo ha hecho. Por primera vez, creó un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido. Logró saltarse los métodos básicos de bloqueo de autoejecución de Windows.

* Siguiendo con el autorun, pudo disimular su ejecución mostrándose como la exploración de carpetas. Es un engaño muy conseguido. El uso de contraseñas por defecto también proporcionó numerosas alegrías a los atacantes.

* Uno de los éxitos técnicos más curiosos ha sido el uso de miles de dominios. El malware actual suele contener un algoritmo interno para generar dominios aleatorios (que probablemente no existen), desde donde descargarán nuevas funcionalidades. Los atacantes compran los dominios y cuelgan en ellos la actualizaciones para que el malware salga a buscarlas cuando los genere internamente. Cuando un laboratorio consigue descifrar ese algoritmo de generación, suele adelantarse a los atacantes y registrar ellos mismos esos dominios. Así podemos saber, según las visitas que reciba el dominio, el número de infectados. Normalmente el malware genera un número manejable de dominios cada día, y los atacantes registran solo algunos. Aunque se descifró el algoritmo de generación de dominios de Conficker, este pasó a generar 50.000 dominios aleatorios (de 4 a 9 letras) al día. Tanto dominio, por supuesto haría que muchos de los generados coincidiesen con dominios ya registrados y legítimos que todos los sistemas infectados visitarían. Los medios advirtieron que Internet se colapsaría por esta razón el 1 de abril.

Fracasos técnicos

* Pocos. Prácticamente su único problema ha sido la detección. Toda versión conocida de Conficker es detectada normalmente por más del 90% de los motores que alojamos en VirusTotal. Las casas se han volcado con él y lo detectan casi unánimemente. Es por eso que Conficker, aunque interesante, pasa automáticamente a ser una amenaza de mucho menos calibre. ¿Qué hubiera pasado si a pesar de toda esa cobertura mediática, los niveles de detección fuesen bajos? No es posible esta combinación. Cuanto más se hable de un malware, más detectado es. La pregunta es qué hubiera ocurrido sin esta cobertura mediática. La respuesta es que los niveles de detección hubieran sido mucho menores, y la infección mucho más discreta y mayor. En otras palabras, lo mismo que está ocurriendo ya con el resto del malware industrial, mucho más abundante, que se crea hoy en día. Los verdaderamente peligrosos que no aparecen en titulares.

Porque, ¿qué puede resultar más peligroso?, este ejemplar:

http://www.virustotal.com/analisis/963521ca26f84db93146f0b7891d0f1f

o este:

http://www.virustotal.com/analisis/07cd5b586a82487949ba18d03bdab8c7

El primero es un Conficker detectado por el 95% de los motores. El segundo es un troyano especialmente destinado al robo de contraseñas, que lleva más de un mes en nuestra base de datos. En ningún momento ha sido detectado por más de dos motores.

Conficker es peligroso, no cabe duda, es una grave plaga que hay que combatir. Pero no es el único malware contra el que se debe luchar.

Más Información:

01/03/2009 ¿Aprende Conficker más rápido que los internautas?
http://www.hispasec.com/unaaldia/3781

19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740

12/01/2009 El gusano Conficker consigue niveles aceptables de infección, al fin y al cabo
http://www.hispasec.com/unaaldia/3733

Fuente:
Por Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Microsoft publicará dos boletines de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office además de Microsoft Visual Basi...
Que tal?, El servidor web de iPlanet visualiza archivos del disco duro
Help Net Security ha publicado que el servidor web de iPlanet se ve afectado por un problema que permite visualizar, de forma remota, el contenido de cualquier fichero del disco duro de la máquina afectada. La vulnerabilidad afecta a las versiones i...
inSSIDer: Programa open source para escanear redes Wi-Fi
Viajando por la blogosfera, conseguí un sitio bastante interesante que hace referencia a inSSIDer, una poderosa herramienta para scanear redes WIFI....
Qubes, el metasistema operativo diseñado por hackers para ser el más seguro, ya está disponible
Un sistema operativo hipervirtualizado. Esto es, un sistema operativo construido a partir de docenas de máquinas virtuales, cada una de ellas atendiendo, enjaulando, aislando las piezas de software que controlan cada uno de nuestros recursos de cóm...
Guerras de patentes, flagelo tecnológico
La era de internet trajo aparejados innumerables e interminables conflictos entre gigantes empresas del sector, que parecen dedicar tanta energía a estos litigios como a la innovación....
Nueva versión de OpenOffice esta vez la 3.2.1
La Comunidad de OpenOffice.org anunció el 03 Jun 2010 la disponibilidad de OpenOffice.org 3.2.1, la última versión del software de ofimática libre más importantes....
Adobe da detalles de vulnerabilidades en archivos PDF
Tres meses después de reconocer múltiples vulnerabilidades en su popular software Adobe Reader, las que fueron solucionadas en febrero con la publicación de Adobe Reader y Adobe Acrobat 8.1.2, la compañía proporcionó algunos detalles sobre los ...
Sabes porque Perdimos en el Referendum del 15/08?
Perdimos... pero no perdimos en las urnas electorales sino por haber puesto nuestra esperanza en manos de los Adecos y de los dinosaurios de la izquierda venezolana ......
Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas
El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados del Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas en los hogares españoles (Informe anual 2009), aunque podría ser aplicado a cua...
Academia de Software Libre: Mapa Tecnológico Regional
El Ministerio de Ciencia, Tecnología e Innovación en el estado Carabobo, a través de la Academia de Software Libre, presenta en su portal web el primer Mapa Tecnológico Regional en Software Libre que mostrará toda la información relacionada a l...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • conficker
  • debian
  • exitos
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • fracasos
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra