El worm Conficker, formalmente denominado W32/Conficker.worm, empezó a infectar los sistemas el fin del año pasado, explotando una vulnerabilidad del Microsoft Windows. Desde entonces, hemos visto algunas variantes de ese worm y muchos binarios que transportan esa carga malintencionada. Conficker.C es la variante más reciente; altera el comportamiento de su “protocolo call-home” el miércoles, 1º de abril. Conficker puede usar ese protocolo para actualizarse e incluir algunas funciones todavía desconocidas. McAfee ya ofrece protección contra ese worm en sus productos para terminales y redes. Microsoft también lanzó una actualización de seguridad para corregir la vulnerabilidad usada por la familia Conficker para propagarse.
La información dada a continuación presenta un panorama del worm, las medidas que se pueden tomar para limpiar un sistema infectado y medidas para evitar la reinfección.
¿Qué es el worm Conficker?
El worm W32/Conficker explota la vulnerabilidad MS08-067 de Microsoft Windows Server Service. Si se explota exitosamente esa vulnerabilidad, puede permitirse la ejecución remota de programas cuando se active el reparto de archivos. Las máquinas deben recibir los parches y ser reiniciadas para evitar que el worm reinfecte el sistema tras la limpieza, y eso puede exigir más de un reinicio.
· Cuando detecte ese worm, reinicie el sistema para limpiar correctamente la memoria. Puede ser necesario reiniciar el sistema más de una vez.
· A menudo, el worm crea tareas programadas para reactivarse a sí mismo.
· El worm utiliza frecuentemente archivos autorun.inf para reactivarse.
Hemos identificado miles de binarios que transportan esa carga activa. Dependiendo de la variante, el worm puede diseminarse a través de LAN, WAN, la Web o de drives removibles y a través de la explotación de contraseñas de baja seguridad. Conficker desactiva varios servicios y productos de seguridad importantes del sistema y descarga archivos arbitrarios. Los computadores infectados con el worm se convierten en miembros de un ejército de equipos infectados que se pueden usar para lanzar ataques a sitios, distribuir spam, hospedar sitios de phishing o realizar otras actividades malintencionadas.
Conficker.C es la variante más reciente de este worm y depende de sus antecesores, las variantes .A y .B. La exposición a la variante .C se limita a los sistemas que aún están infectados por las variantes anteriores.
Síntomas
- Bloquea el acceso a sitios de seguridad
- Impide el acceso del usuario al directorio
- Envía tráfico a través del puerto 445 en servidores que no utilicen Directory Service (DS)
- Niega el acceso a repartos administrativos
- Pone los archivos autorun.inf en el directorio de la papelera
¡IMPORTANTE!
INFORMACIÓN ADICIONAL
Conficker Landing Page:
http://www.mcafee.com/us/
threat_center/conficker.html
Herramientas de eliminación y documentación de Conficker
· Herramienta Avert Stinger para la eliminación del Conficker
· Combatiendo el worm Conficker: etapas para atenuar los riesgos causados por el Conficker
Artículos del blog de McAfee Avert Labs sobre Conficker
· Más comentarios sobre Conficker
· W32/Conficker: ¿mucho lío por nada?
· McAfee estrena la serie “Combatiendo las Amenazas”
· ¿Qué aprendemos con las infecciones de virus del pasado?
· Nuevos ataques de BackDoor utilizan documentos PDF
· Reducción de los plazos de parcheo — la necesidad del HIPS
· Worm Conficker utiliza la carga activa Metasploit para diseminarse
· Más dificultades con la MS08-067
Artículos de la Biblioteca de Información de Virus (VIL) de McAfee
· McAfee VIL: W32/Conficker.worm
· McAfee VIL: MS08-067—Microsoft Windows Server Service |
