Este grupo de analistas, que están investigando en profundidad el comportamiento de Conficker, han dado a conocer sus estimaciones sobre el tamaño del gusano. Según sus datos, recogidos por el Conficker Working Group, Conficker ha salpicado a unos 4,6 millones de direcciones IP únicas. Sus primeras variantes, A y B, tienen la parte del león, con 3,4 millones de direcciones IP, mientras que Conficker.C acapara 1,2 millones de direcciones. Los países con mayor número de infecciones de todas las variantes son China, Brasil y Rusia.
Conficker ha estado infectando equipos Windows desde octubre, pero en las últimas semanas ha logrado mucha más atención por la última versión del gusano, Conficker.C, que ha actualizado el modo en que busca las instrucciones, haciendo mucho más difícil parar su expansión.
De hecho, el pasado fin de semana, Conficker infectó a cerca de 800 PC del Centro de Ciencias de la Salud de la Universidad de Utah. El personal encargado de las TI del centro cree que la red se infectó a través de un dispositivo portátil. Una vez instalado en un PC, Conficker es muy efectivo a la hora de encontrar y atacar máquinas Windows sin parchear para expandirse.
Los usuarios que se pregunten si están infectados por el gusano pueden saberlo gracias a un test desarrollado por SecureWorks.
Estudios realizados hace unas semanas por OpenDNS y el grupo de sistemas de seguridad en Internet de IBM han sugerido que un cuatro por ciento de los PC de todo el mundo podrían haber sido atacados por el gusano, pero el Conficker Working Group sugiere que el número es mucho menor.
“Esperamos que la publicación de estos números pueda arrojar un poco de luz a esta ecuación”, explica Andre DiMino, cofundador de The Shadowserver Foundation y miembro del Working Group. Él no cree que el 4 por ciento de los PC estén infectados. Así las cosas, el actual número de infecciones podría ser tanto mayor como menor de los 4,6 millones mencionados. Esto es así porque el método de contabilización del Working Group tiene en cuenta las direcciones IP y es posible que hayan contabilizado a más usuarios, pues éstos podrían conectarse desde múltiples direcciones IP. También pueden haber contabilizado por debajo las posibles infecciones corporativas, que pueden esconderse tras una única dirección IP. En definitiva, hoy por hoy, no hay cifras claras.
OpenDNS, IBM y el Working Group han utilizado diferentes métodos para llegar a sus estimaciones, pero todas ellas se apoyan en el hecho de que las máquinas infectadas necesitan realizar una comprobación con un servidor de control. De este modo, se puede estimar el número de equipos atacados.
Así, el Working Group consiguió sus datos estableciendo un “sumidero” de servidores en diferentes puntos de Internet utilizados por máquinas infectadas. Hicieron esto tomando los dominios que Conficker visita para buscar instrucciones. Así, el número de infecciones medidas por el Working Group está en línea con sus estimaciones de anteriores variantes del gusano, pues “no todas las A y B se han convertido en C”, ha explicado DiMino.
Para complicar aún más la cosa, una nueva variante de Conficker ha visto la luz en los últimos días, y ésta utiliza técnicas peer-to-peer, que no son tan fácilmente medibles por el sistema de servidores del Working Group. Esto significa que el grupo probablemente necesitará desarrollar un nuevo modo de contabilizar las infecciones a medida que esta última variante se extienda.
Aunque los datos del Working Group son, a primera vista, bastante distintos de los de IBM, sus resultados no han sorprendido a nadie. Así lo explica Holly Stewart, responsable de respuesta ante amenazas en IBM. En su opinión, es “realmente difícil”, conseguir un parche del tamaño de una red bot. “No creo que nadie tenga la respuesta perfecta. Nosotros tenemos unos datos y ellos tienen otros. Si me pregunta cuál es la cifra verdadera, realmente no lo sé”.
