__________________________________________________________________________________________________
Últimamente se ha puesto de moda hablar de Conficker y sus
variantes. Y mucho más si tenemos en consideración la temida
reactivación prevista para mañana 1 de abril
__________________________________________________________________________________________________
Hacía tiempo que no veíamos tanta cobertura mediática generada por
un ejemplar de malware, y no quiero decir que me desagrade, porque
entre todos contribuimos a concienciar a los usuarios a ser cautos.
Pero también es cierto que quizá se le está dando más importancia de
la que en realidad tiene. Demos un repaso a las preguntas mas comunes
que se está haciendo en todo el mundo.
__________________________________________________________________________________________________
En cuanto a la fecha, ¿se activará Conficker el día 1 de abril? La respuesta es: No. No se trata de una activación.
_________________________________________________________________________________________________
¿Pero va a hacer algo ese día, no es verdad? Sí,
Conficker es un programa malicioso que crea URL de manera aleatoria;
luego, en los ordenadores infectados comprueba si en alguna de esas URL
hay alguna versión nueva de su código y de ser así, la descarga en el
equipo. Esto lo hace lo hace a un ritmo de unas 250 diarias.
_________________________________________________________________________________________________
¿Qué va a pasar el 1 de abril entonces? Ese día, la
última variante creará 50.000 nuevas URL. No podemos saber si alguno de
ellas alojará una actualización de Conficker. Su autor podría alojar en
esas URL incluso otro tipo de malware que no tiene por qué ser una
actualización de Conficker.
A tenor de esto, hay que recordar que Conficker verifica la fecha a
través de Internet, es decir, que el pequeño truco de cambiar la fecha
del ordenador, como algunos han comentado, no sirve en este caso. La
extensión de Internet y sus servicios también es útil para los
ciberdelincuentes.
_________________________________________________________________________________________________
¿Si alguna URL contiene una actualización del gusano qué podrá hacer esa nueva variante?Es difícil de determinar. Hasta el punto de que ningún fabricante de
soluciones de seguridad ha sido capaz de predecir qué ocurrirá. En todo
caso y aunque es cierto que este código malicioso puede recordar a las
antiguas epidemias en tanto en cuanto que su autor ha buscado ser
reconocido y acaparar titulares, no se trata sólo de un ejemplar para
conseguir reconocimiento. El objetivo es otro, aunque no sepamos aún
cuál.
Si pensamos en los diferentes modelos de negocio que actualmente hay
detrás de los programas maliciosos, es evidente que su autor o autores
están buscando algún tipo de beneficio económico. Pero, ¿de qué manera?
Puede ser por el alquiler de la red de ordenadores infectados para
enviar spam; mediante la instalación en el PC infectado de algún adware
del tipo de los falsos antivirus para advertir a los usuarios que su
equipo está infectado y engañarlos para comprar un falso antivirus; por
la descarga de tipo troyano ladrón de contraseñas… Hay muchos
especulaciones, pero nada seguro.
_________________________________________________________________________________________________
Otra cuestión planteada es si ¿es realmente más peligroso que otro tipo de malware?La respuesta es no, no es más peligroso, a pesar de que el hecho de que
se actualice deja una puerta abierta a nuevos ataques, que podrían ser,
estos sí, más peligrosos.
En realidad, el éxito de Conficker radica en haber explotado una
reciente vulnerabilidad de Microsoft para distribuirse, y por eso, ha
llegado a muchos ordenadores. En esto, su autor ha sido inteligente y
ha tomado la modelo de los virus clásicos. Otro “inteligente” método
utilizado por su autor ha sido el de utilizar diferentes medios de
infección, especialmente a través de llaves USB, reproductores MP3,
etc. Además, versión a versión ha hecho más difícil su detección
ofuscando el código. Y aunque no podemos hablar de un virus
polimórfico, si es cierto que sigue esta dirección.
Precisamente, en lo que más destaca Conficker es en la forma de
propagarse por dispositivos USB, como comentábamos anteriormente. Se
trata de un intento de alcanzar al máximo número posible de usuarios.
También destaca por la capacidad que tienen los PC infectados en
comunicarse entre sí para actualizarse sin necesidad de que todos se
bajen una nueva versión desde una URL, utilizando tecnología P2P. De
nuevo, una tecnología muy difundida entre los usuarios que también es
aprovechada por los ciberdelincuentes.
En cualquier caso, el nivel de infecciones de las últimas semanas ha
ido bajando a niveles muy bajos. Probablemente todavía hay PC
infectados por el malware, pero no en los niveles que veíamos hace
meses. Ante esta situación, su autor puede tomar varios caminos:
- a) crear una nueva variante que utilice alguna otra vulnerabilidad 0 day para propagarse, y mantener así la era Conficker
- b) continuar manteniendo vivas las tres variantes que están
distribuyéndose, viendo cómo su negocio se va, día a día, a pique
- c) aburrirse y dedicarse a otra cosa…
Nosotros apostamos por la opción a). No necesariamente para abril,
sino próximamente. No creemos que su autor haya hecho tanto esfuerzo
para luego tirarlo a la basura sin tener ningún beneficio. No se
rendirá tan fácilmente.
_________________________________________________________________________________________________
Por lo tanto, que no cunda el pánico. ¿Qué deben hacer los usuarios el 1 de abril?Si tienen su PC protegido por un buen antivirus actualizado, nada. Si
no lo tienen, les recomendamos que se instalen uno (no es necesario
esperar al 1 de Abril…)
__________________________________________________________________________________________________
fuente:
http://www.pc-actual.com