Conficker, también conocido como Downadup y como Kido, es el gusano más virulento de los últimos tiempos. Aprovechando una vulnerabilidad de Windows corregida hace cinco meses ha conseguido poner en jaque a todas las empresas fabricantes de soluciones de seguridad y a la propia Microsoft que, al más puro estilo del viejo oeste americano, ha puesto precio a la cabeza de sus creadores, ofreciendo una recompensa de 250.000 dólares a quien ayude a capturarlos. Mañana, 1 de abril de 2009, podría activarse la tercera variante del gusano, Conficker.C y causar daños que los analistas no se atreven a pronosticar. ¿Está seguro tu equipo?
El 23 de octubre de 2008, Microsoft publicaba un boletín de seguridad, como tantos otros, que resolvía una vulnerabilidad clasificada como crítica, y denominada MS08-067. Esta vulnerabilidad podría permitir hacerse con el control de los ordenadores, con permisos de administrador y pudiendo instalar aplicaciones y ejecutar código. Hasta cierto punto algo rutinario que no podía hacer sospechar los quebraderos de cabeza que iba a dar Conficker.
Apenas un mes después, el 21 de noviembre se detectaba Conficker, también conocido como Downadup. Un gusano que se autoprotege desactivando servicios como Windows Update, Windows Error reporting, o cualquier proceso que aparente ser un antivirus. Además de impedir el acceso a las páginas web que puedan ser de antivirus. La infección había comenzado.
Antes de acabar el año, el 29 de Diciembre, ya se había detectado la segunda variante, denominada Conficker.B, por lo que la primera pasaba a ser Conficker.A. Conficker.B empleaba múltiples métodos de propagación, incluyendo los dispositivos USB, en los que suplantan la opción de "Abrir carpeta para ver archivos" para que en realidad provoque la ejecución del malware.
Conficker se convierte en una epidemia
Ya en 2009, a mediados de enero, saltaban las alarmas. Según F-Secure ya había 3,5 millones de ordenadores infectados de los que se estimaba que 1,1 millones habían sido atacados en sólo 24 horas. Microsoft incluía la detección de Conficker en su herramienta Malicious Software Removal Tool (MSRT) y recomendaba la instalación de la actualización MS08-067.
Sólo una semana después PandaLabs calculaba que Downadup ya había infectado al 6% de los ordenadores de todo el mundo, extendiéndose por 83 países. Conficker había alcanzado el grado de epidemia.
“Es algo que no se veía desde los tiempos de las grandes epidemias como las de Kournikova o Blaster”, afirmaba Luis Corrons, director técnico de PandaLabs. Además Corrons ya advertía que el gusano podría hacer más daño al descargar otro malware en los equipos in
fectados.
Conficker estaba intentando hacerse con las contraseñas almacenadas en los ordenadores para hacerse con su control.
Antes de terminar el mes de enero, los ordenadores afectados ya se estimaban en uno de cada 16 equipos que usaran Windows, y Microsoft adoptaba una posición más drástica,
recomendando la reinstalación completa del sistema operativo. Según el
Inteco (Instituto Nacional de Tecnologías de la Información), sólo una tercera parte de los usuarios de Windows habían haya descargado la actualización
MS08-067, lo que estaba facilitando mucho más la propagación del virus.
Conficker estaba causando estragos a todos los niveles afectando a empresas, particulares y organismos públicos. Incluso
el Ejercito del Aire Francés tuvo que dejar en tierra sus aviones al tener infectados los ordenadores de la red interna del ejército.
Para luchar contra el virus más eficazmente se intentaba bloquear las páginas que Conficker utilizaba para actualizarse. Para lograrlo
OpenDNS empezó a utilizar una lista de dominios suministrada por Kaspersky para actualizar sus servidores DNS, los que redirigen el trafico en Internet. Sin embargo, para que esta medida fuese eficaz, debería aplicarse a todos los servidores DNS de Internet, por lo que Microsoft trabajaba también con
ICANN (Internet Corporation for Assigned Names and Numbers), organización encargada de supervisar las direcciones Internet, para acabar con estos servidores.
Recompensa por los creadores de Conficker
Así las cosas, a mediados de febrero Microsoft decidió poner precio a la cabeza de los creadores de Conficker, ofreciendo una recompensa de 250.000 dólares por cualquier información que ayudara a capturarlos. Es una estrategia que ya se había ensayado con éxito con el creador de Sasser, la intención de Microsoft es que otros hackers que hubieran podido colaborar con ellos ofreciesen información, aunque parece que esta vez, la recompensa no ha dado resultado.
Lejos de capturar a los responsables, una semana más tarde la preocupación era la variante del gusano denominada Conficker B++, que utilizaba una nueva técnica para descargar software en los ordenadores infectados.
A primeros de Marzo, Symantec alertaba sobre Conficker.C, la tercera variante de Downadup que se convertía en la más agresiva. Conficker.C se dirigía a máquinas ya infectadas con anteriores variantes del gusano y trataba de evitar que los antivirus pudieran detectarlo y desinfectarlo.
Además, los investigadores de seguridad de CA, descubrieron que Conficker.C se activaría el 1 de abril de 2009, día de los inocentes en la cultura anglosajona, para ejecutar unas instrucciones desconocidas.
Mañana es 1 de abril, Conficker sigue activo en millones de ordenadores y no se ha conseguido localizar a sus creadores o el punto de origen de la infección, algo que están intentando desde la Universidad de Míchigan utilizando los sensores “darknet” que se instalaron hace unos seis años con este fin.
|
A río revuelto...
Aparte de los daños que pueda causar Conficker, otros creadores de malware se están beneficiando de su popularidad. Lo cierto es que la epidemia está provocando que se hagan millones de búsquedas en Internet, de modo que han empezado a aparecer páginas fraudulentas en los resultados devueltos por los buscadores.
Según alertaba Symantec en su blog la semana pasada, estás páginas, posicionadas entre los primeros resultados, dirigen a webs que descargan aplicaciones con más malware, haciéndose pasar por antivirus e imitando el aspecto de la ventana de alertas de seguridad de Windows para confundir al usuario e incitarle a pulsar en los botones.
|
Ahora mismo, el mayor problema es que se desconoce que acciones ejecutará Conficker cuando se active. “Debemos pensar en que no sólo se va a centrar en un determinado número de páginas y en un día concreto”. Así pues “no tenemos ninguna evidencia sobre qué va a pasar el 1 de abril”, explica Joe Stewart, director de investigación de malware en SecureWorks. “Aún no es 1 de abril, por lo que aún no van a dejar ninguna pista que podría ser encontrada. De hecho, el mayor riesgo nuestro es intentar examinar estas páginas web, lo que podría disuadir a este gusano a intentar atacarlas”.
“Nadie tiene ni idea”, reconoce el vicepresidente de Symantec. “Esta variante es muy defensiva, está programada para hacerse poco visible y más fuerte”. De hecho, Symantec considera que esta variante está diseñada para permitir a su creador confirmar que el ordenador está infectado. “La gran pregunta es dónde acaba el juego, si es sólo eso lo que quieren comprobar”.
Ambos expertos de seguridad entienden que quizá la única voluntad del creador de Conficker es poner en apuros a los investigadores de seguridad y a los fabricantes de antivirus. “Es algo muy curioso”, explica Stewart. “Los hackers son más pacientes y metódicos que nunca. No es un típico delito cibernético”. Quizás por ello algunos expertos consideran que hay un miedo exagerado a lo que pueda ocurrir el 1 de abril.
Además, algunos fabricantes de antivirus catalogan otras variantes clasificadas como Conficker.D, Conficker.E, Conficker.F, y subvariantes de todas ellas, aunque hasta el momento parece que la más peligrosa de todas ellas sea Conficker.C.
