Conficker, también conocido como Downadup y como Kido, es el gusano más virulento de los últimos tiempos. Aprovechando una vulnerabilidad de Windows corregida hace cinco meses ha conseguido poner en jaque a todas las empresas fabricantes de soluciones de seguridad y a la propia Microsoft que, al más puro estilo del viejo oeste americano, ha puesto precio a la cabeza de sus creadores, ofreciendo una recompensa de 250.000 dólares a quien ayude a capturarlos. Mañana, 1 de abril de 2009, podría activarse la tercera variante del gusano, Conficker.C y causar daños que los analistas no se atreven a pronosticar. ¿Está seguro tu equipo?
El 23 de octubre de 2008, Microsoft publicaba un boletín de seguridad, como tantos otros, que resolvía una vulnerabilidad clasificada como crítica, y denominada MS08-067. Esta vulnerabilidad podría permitir hacerse con el control de los ordenadores, con permisos de administrador y pudiendo instalar aplicaciones y ejecutar código. Hasta cierto punto algo rutinario que no podía hacer sospechar los quebraderos de cabeza que iba a dar Conficker.
Apenas un mes después, el 21 de noviembre se detectaba Conficker, también conocido como Downadup. Un gusano que se autoprotege desactivando servicios como Windows Update, Windows Error reporting, o cualquier proceso que aparente ser un antivirus. Además de impedir el acceso a las páginas web que puedan ser de antivirus. La infección había comenzado.
Antes de acabar el año, el 29 de Diciembre, ya se había detectado la segunda variante, denominada Conficker.B, por lo que la primera pasaba a ser Conficker.A. Conficker.B empleaba múltiples métodos de propagación, incluyendo los dispositivos USB, en los que suplantan la opción de "Abrir carpeta para ver archivos" para que en realidad provoque la ejecución del malware.
Conficker se convierte en una epidemia
Ya en 2009, a mediados de enero, saltaban las alarmas. Según F-Secure ya había 3,5 millones de ordenadores infectados de los que se estimaba que 1,1 millones habían sido atacados en sólo 24 horas. Microsoft incluía la detección de Conficker en su herramienta Malicious Software Removal Tool (MSRT) y recomendaba la instalación de la actualización MS08-067.
Sólo una semana después PandaLabs calculaba que Downadup ya había infectado al 6% de los ordenadores de todo el mundo, extendiéndose por 83 países. Conficker había alcanzado el grado de epidemia.
“Es algo que no se veía desde los tiempos de las grandes epidemias como las de Kournikova o Blaster”, afirmaba Luis Corrons, director técnico de PandaLabs. Además Corrons ya advertía que el gusano podría hacer más daño al descargar otro malware en los equipos infectados. Conficker estaba intentando hacerse con las contraseñas almacenadas en los ordenadores para hacerse con su control.
Antes de terminar el mes de enero, los ordenadores afectados ya se estimaban en uno de cada 16 equipos que usaran Windows, y Microsoft adoptaba una posición más drástica, recomendando la reinstalación completa del sistema operativo. Según el Inteco (Instituto Nacional de Tecnologías de la Información), sólo una tercera parte de los usuarios de Windows habían haya descargado la actualización MS08-067, lo que estaba facilitando mucho más la propagación del virus.
Conficker estaba causando estragos a todos los niveles afectando a empresas, particulares y organismos públicos. Incluso el Ejercito del Aire Francés tuvo que dejar en tierra sus aviones al tener infectados los ordenadores de la red interna del ejército.
Para luchar contra el virus más eficazmente se intentaba bloquear las páginas que Conficker utilizaba para actualizarse. Para lograrlo OpenDNS empezó a utilizar una lista de dominios suministrada por Kaspersky para actualizar sus servidores DNS, los que redirigen el trafico en Internet. Sin embargo, para que esta medida fuese eficaz, debería aplicarse a todos los servidores DNS de Internet, por lo que Microsoft trabajaba también con ICANN (Internet Corporation for Assigned Names and Numbers), organización encargada de supervisar las direcciones Internet, para acabar con estos servidores.
Recompensa por los creadores de Conficker
Así las cosas, a mediados de febrero Microsoft decidió poner precio a la cabeza de los creadores de Conficker, ofreciendo una recompensa de 250.000 dólares por cualquier información que ayudara a capturarlos. Es una estrategia que ya se había ensayado con éxito con el creador de Sasser, la intención de Microsoft es que otros hackers que hubieran podido colaborar con ellos ofreciesen información, aunque parece que esta vez, la recompensa no ha dado resultado.
Lejos de capturar a los responsables, una semana más tarde la preocupación era la variante del gusano denominada Conficker B++, que utilizaba una nueva técnica para descargar software en los ordenadores infectados.
A primeros de Marzo, Symantec alertaba sobre Conficker.C, la tercera variante de Downadup que se convertía en la más agresiva. Conficker.C se dirigía a máquinas ya infectadas con anteriores variantes del gusano y trataba de evitar que los antivirus pudieran detectarlo y desinfectar
