Conficker

Conficker

Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows.[1] El gusano explota una vulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, y Windows 7.[2] [3]

Contenido

Origen del nombre

Fue bastante extendida la etimología del nombre del gusano como un calambur alemán, o devian como el demonio de 5 ojos ya que "conficker" se pronuncia en alemán como la palabra inglesa "configure" (configuración), y la palabra alemana ficker es un equivalente obsceno de la palabra castellana joder, por lo que conficker sería como programa que estropea la configuración,[4] [5] aunque en un sitio de Microsoft se explica que el nombre proviene de seleccionar partes del dominio trafficconverter.biz que aparece en su código:

trafficconverter.biz =>(fic)(con)(er) => (con)(fic)(+k)(er) => conficker.[6]

Operación

El gusano se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo.[7]

Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima.[8] El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe.[9]

Impacto y reacción

Ofrecimiento de recompensa

El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250,000 a quien entregara información que llevará al arresto y encarcelamiento de los criminales tras la creación del gusano. El pasado mes de marzo el FBI comunicó al Grupo de Delitos Telemáticos de la Guardia Civil que habían comenzado una investigación para descubrir al caso cero, el primer infectado con el gusano Conficker, e informaron que "el primer caso" había sido desde Ucrania[10] [11]

Contagio mundial

El gusano había contagiado el 6% de las computadoras del mundo para marzo de 2009,[12] un 8% en América latina, y en Argentina llegó al 25% de todo el malware propagado durante enero.[13] Sin embargo, y aunque existen variantes que son capaces de crear 50.000 URL falsas para propagarse, el número de contagiados comenzó a decrecer.[14]

Investigadores de la Universidad de Míchigan comenzaron una investigación en marzo de 2009 para descubrir al caso cero, el primer infectado con el gusano, usando sensores darknet, e intentar localizar a sus creadores, pero los sensores Darknet no siempre son efectivos, Boixnet uno de los hackers catalanes con más reconocimiento en barcelona lo explicaba en su conferencia, " Versiones modificadas de conficker: la nueva generación de virus ".[15]

El 26 de marzo se anunció un posible ataque masivo para el 1 de abril de 2009, el día de los inocentes estadounidense,[12] [15] que no ocurrió, aunque aparecieron versiones modificadas del gusano con mejores defensas.[16]

Sigue Creciendo y desbordando

A finales de mes los investigadores descubrieron una nueva variante del malware circulando por Internet. Desde entonces, el hecho de que no se produjeran alarmas significativas ha hecho que Conficker haya pasado página, aunque los investigadores de Symantec nos acaban de recordar que el gusano sigue activo, y es capaz de incorporar a su red 50.000 nuevos sistemas cada día.

Parcheado y eliminación

El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que corrige la vulnerabilidad de la que se aprovecha el gusano.[17] Existen herramientas de eliminación de Microsoft,[18] SOPHOS,[19] ESET,[20] Panda Security,[21] Symantec,[22] Kaspersky Lab, TrendMicro,[23] de Service Pack 3, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.[24]

Síntomas de infección

  • La política de bloqueo de cuenta se restablece automáticamente.
  • Algunos servicios de Microsoft Windows, como actualizaciones automáticas, Background Intelligent Transfer Service (BITS), Windows Defender y Windows Error Reporting no funcionan.
  • Los controladores de dominio responden lentamente a las peticiones del cliente.
  • Hay una congestión de las redes de área local como consecuencia de inundaciones ARP provenientes del escaneo de la red.
  • Los sitios web relacionados a software antivirus o el servicio Windows Update resultan inaccesibles.[25]
  • Las cuentas de usuario se bloquean.[26]

Referencias

  1. «Three million hit by Windows worm». BBC News Online. BBC (16 de enero de 2009). Consultado el 15 de febrero de 2009.
  2. Conficker worm still wreaking havoc on Windows systems. Government Computer News. 15 de enero de 2009.
  3. Windows 7 Beta is not immune conficker. Digital world. 29 de enero de 2009. Revisado el 26 de marzo de 2009.
  4. Microsoft's $5,000,000 Reward for the Conficker Worm Creators, IP Communications, 13 de febrero de 2009. Revisado el 26 de marzo de 2009.
  5. Microsoft Posts $250,000 Reward for PC Hackers. FOX News. 16 de febrero de 2009. Revisado el 26 de marzo de 2009.
  6. Worm:Win32/Conficker.A. Microsoft Malware Protecton Center. Revisado el 26 de marzo de 2009.
  7. «CVE - CVE-2008-4250 (under review)».
  8. «Conficker Worm Attack Getting Worse: Here's How to Protect Yourself». PC World (17-01-2009). Consultado el 18-01-2009.
  9. «F-Secure Malware Information Pages». F-secure. Consultado el 18-01-2009.
  10. Microsoft ofrece una recompensa por la 'cabeza' del creador del virus 'Conficker' RTVE. 14 de febrero de 2009. Revisado el 16 de febrero de 2009.
  11. Microsoft ofrece una recompensa de 194.000 euros por el creador de 'Conficker'. El País. 14 de febrero de 2009. Revisado el 16 de febrero de 2009.
  12. a b ¡Atención internautas!: Conficker contraatacará en abril. La Gaceta, 24 de marzo de 2009. Revisado el 26 de marzo de 2009.
  13. Conficker: El cuento del huevo o la gallina. La Segunda, 20 de marzo de 2009. Revisado el 26 de marzo de 2009.
  14. Conficker se actualiza, ahora puede registrar 50.000 dominios al día…. Soitu, 26 de marzo de 2009. Revisado el 26 de marzo de 2009.
  15. a b Investigadores quieren descubrir el momento cero de la epidemia Conficker. IDG, 26 de marzo de 2009. Revisado el 26 de marzo de 2009.
  16. El gusano informático Conficker se fortaleció el 1 de abril, pero aún no actúa. AFP, 2 de abril de 2009. Revisado el 2 de abril de 2009.
  17. «Microsoft Security Bulletin MS08-067» (23-10-2008). Consultado el 19-01-2009.
  18. «Malicious Software Removal Tool».
  19. «Sophos Anti-Virus: detección y control de infecciones de Conficker».
  20. http://download.eset.com/special/EConfickerRemover.exe
  21. «Cómo desinfectar el Gusano Conficker.C. Enciclopedia. Panda Security».
  22. «W32.Downadup Removal - Removing Help».
  23. «WORM_DOWNAD.AD - Description and solution».
  24. «MS08-067 Worm, Downadup/Conflicker». Consultado el 08-01-2009.
  25. «Virus alert about the Win32/Conficker.B worm». Microsoft (15-01-2009). Consultado el 22-01-2009.
  26. «Virusencyclopedie: Worm:Win32/Conficker.B». Microsoft. Consultado el 03-08-2009.

Wikimedia foundation. 2010.

Игры ⚽ Поможем написать реферат

Mira otros diccionarios:

  • Conficker — Common name Aliases Mal/Conficker A(Sophos) Win32/Conficker.A (CA) W32.Downadup (Symantec) W32/Downadup.A (F Secure) Conficker.A (Panda) Net Worm.Win32.Kido.bt ( …   Wikipedia

  • Conficker — (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im November 2008 registriert wurde. [1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass… …   Deutsch Wikipedia

  • Conficker — (connu aussi sous les noms de Downup, Downandup et Kido) est un ver informatique qui est apparu fin novembre 2008[1]. Ce ver exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, Windows Vista, Windows 7, Windows… …   Wikipédia en Français

  • Conficker — (также известен как Downup, Downadup и Kido)  один из опаснейших из известных на сегодняшний день компьютерных червей. Вредоносная программа была написана на Microsoft Visual C++ и впервые появилась в сети 21 ноября 2008. Атакует… …   Википедия

  • Conf*cker — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downadup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Con****er — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Conf*cker — Conficker Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Dan Kaminsky — Kaminsky in 2007. Occupation Computer security researcher Known for Discovering the 2008 DNS cache poisoning vulnerability Dan Kam …   Wikipedia

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”