¿Aprende Conficker más rápido que los internautas?

Posted by Moyo in Monday, March 2nd 2009   under: Object    Tags: conficker, educación, Internet, loop-values, networking, segu-info, seguridad-inform, storm-worm, vista   

Enésima versión de Conficker (en este caso llamada B++ por algunas casas) que salta a los sistemas (y a los medios). Se trata del azote vírico del año, en un paralelismo sorprendente en muchos aspectos con lo que se dio en llamar el “Storm worm” y que se convirtió en la pesadilla de todo 2007 y parte de 2008. Los niveles de infección de Conficker siguen al alza, quedando ya lejos aquella primera versión que solo aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido
nada? ¿Puede presentarse otro malware de manual y evolucionar exactamente de la misma forma que uno que ya sufrimos hace dos años?


Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de
sus servicios (corregido en octubre, en el boletín MS08-067), al más
puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas
bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue
hasta que enriqueció su estrategia de infección, cuando realmente los
medios se fijaron en él. Desde diciembre, comienza a copiarse a las
unidades mapeadas en el sistema y, sobre todo, en los dispositivos
extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque
automático para poder ejecutarse en la siguiente víctima. Con este doble
enfoque, consigue dar el salto desde las redes internas desprotegidas
(donde aparentemente tiene más posibilidades de propagarse) hacia
cualquier otro sistema externo, y esparcirse así en redes en principio
“a salvo” gracias al cortafuegos (su verdadero enemigo). Su relativo
éxito anima a medios y casas antivirus a lanzar una alerta “palpable”,
de las que hacía años que no se emitían, como cuando se alertaba sobre
virus concretos de propagación masiva.

Sobre esta base de infección y “cuota de mercado”, Conficker comienza a
evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el
Conficker mute con nuevas versiones, sino que se ha convertido en un
complejo sistema multi-modular que se ayuda de servidores comprometidos
o no y una flexibilidad que permite que sus métodos de infección mejoren
cada poco tiempo. Conficker evoluciona así desde un gusano tradicional
hacia un complejo sistema perfectamente orquestado, cambiante y eficaz.
Del primer Conficker apenas queda el nombre. Conficker es ahora una gran
familia.

Si miramos atrás, “Storm Worm” o “Storm Virus” se popularizó a finales
de 2006 como malware de rápida distribución que infectó a millones de
sistemas Windows. Al principio, se propagaba de la forma más “burda”
posible: un ejecutable a través de spam. Esta técnica, que se creía
superada, provocó que muchos usuarios lo ejecutasen y quedasen
infectados. Como Conficker, triunfó a pesar de usar técnicas de
infección muy poco novedosas. Como con Conficker, los medios se fijaron
en él precisamente por su simplicidad, por suponer un virus reconocible
por los usuarios medios y poder usarlo de cabeza de turco como años
atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con
una infraestructura de sistemas que crecía cada día, Storm Worm sentó
las bases de un ejército de equipos infectados. Como Conficker, los
atacantes comenzaron a mejorar su propio código, y de qué manera. A los
pocos meses se propagaba a través de técnicas mucho más sofisticadas.
Las máquinas infectadas se usaron para enviar spam (en cantidades
industriales) en campañas espaciadas en el tiempo, cada una más
virulenta que la anterior, que no hacían más que realimentar el número
de sistemas infectados… Y Storm Worm se convirtió en una pesadilla de
decenas de archivos que mutaban y cambiaban cada minuto, muchos datos
robados, poco ratio de detección, e infinidad de basura en la bandeja de
entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un
año como número uno en infecciones? ¿Es que no hemos aprendido nada?

New Conficker B++ Worm Discovered, More Stealth http://www.infopackets.com/news/security/2009/20090225_new_conficker_b++_worm_discovered_more_stealth.htm

Sergio de los Santos
ssantos@hispasec.com

Fuente: Hispasec

See the original post here:
¿Aprende Conficker más rápido que los internautas? |

no comment

Be First To Comment

Related Post

Leave Your Comments Below

Please Note: All comments will be hand modified by our authors so any over offensive comments will be removed and your submitted comments will be appreared after approved

«
»

  • 1 1 1 1 teliad - el mercado para los enlaces de texto 1 1
    LinkLift
SEO Powered by Platinum SEO from Techblissonline