Tag Archives: conficker

Estudio sobre dominios .com.ar utilizados por Conficker

Posted on by
Reply

En Segu-Info hemos realizado un estudio sobre los dominios argentinos (.com.ar) que potencialmente podrían ser utilizados para propagar Conficker.

Estos dominios pueden ser previamente registrados por sus autores para que se descarguen de allí las actualizaciones correspondientes del malware, conformando una Botnet (y un problema de seguridad) de tamaño sin precedentes.

Recientemente se supo del cambio en el malware Conficker (variante C) mediante el cual genera 50.000 nombres de dominios pseudo-aleatoriamente en 116 TLD diferentes, de los cuales intentará descargar actualizaciones generadas por sus autores. Con este diseño pretende sortear las dificultades anteriores, cuando sólo eran 250 dominios distintos por día y, los investigadores y organizaciones coordinados lograban bloquear muchos de esos dominios al registrarlos con anticipación.

Si bien el informe se centra en dominios argentinos, aplica a cualquier dominio latino o mundial.

Puede ingresar y descargar el informe desde nuestra página de Conficker.

Cristian de la Redacción de Segu-Info

See the rest here:
Estudio sobre dominios .com.ar utilizados por Conficker |

Éxitos y fracasos de Conficker

Posted on by
Reply

Si algo ha conseguido Conficker, es generar expectación mediática (incluso que le dediquemos varias una-al-día). Alentado por las casas antivirus, que no pasan por su mejor momento en nivel de detección global, Conficker ha servido para recordar al mundo que existen todavía amenazas globales en forma de malware con nombre y apellido. Conficker, cabeza de turco frente a otros tipos de malware anónimos y mucho más peligrosos, ha gozado de algunos éxitos rotundos, tanto mediáticos como técnicos que vamos a repasar.

Éxitos mediáticos

* Poco queda del Conficker original que apareció en noviembre. Se ha convertido, como todo malware 2.0 que se precie, en una sofisticada red de sistemas y servidores, como ocurrió con el Storm Worm. Alguien a quien señalar con el dedo y que recuerde al público (consumidor de software) que las casas antivirus siguen ahí. El miedo incita a protegerse.

* Conficker se ha centrado, durante mucho tiempo, más en la expansión que en el ataque. Se ha dedicado a recopilar máquinas infectadas sin un fin concreto (al menos que conozcamos por ahora). Este pequeño misterio ha atraído la atención de las casas antivirus, y por tanto de los medios.

* El éxito incluso le ha llegado de formas muy retorcidas. La proliferación de programas legítimos y específicos para desinfectar el sistema ha plagado las primeras búsquedas de Google de software falso. Es fácil encontrar con cualquier buscador, malware que dice ser un limpiador de Conficker.

* Establecer una fecha de apocalipsis vende mucho. Como hicieran el virus Viernes 13, Michelangelo… recuerda viejos tiempos, siempre mejores para las casas antivirus. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Nada ha ocurrido, como era de esperar. Es imposible que algo que genera tanta expectación cause un gran impacto. La gente tiende a prepararse para mitigar el ataque. Cuando algo viene por sorpresa, cuando no hay fecha establecida, es cuando el impacto se puede considerar verdaderamente serio.

Éxitos técnicos

* El mayor éxito de expansión de Conficker ha sido a través de las memorias USB. Pero no solo el hecho de adoptar esa estrategia, sino cómo lo ha hecho. Por primera vez, creó un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido. Logró saltarse los métodos básicos de bloqueo de autoejecución de Windows.

* Siguiendo con el autorun, pudo disimular su ejecución mostrándose como la exploración de carpetas. Es un engaño muy conseguido. El uso de contraseñas por defecto también proporcionó numerosas alegrías a los atacantes.

* Uno de los éxitos técnicos más curiosos ha sido el uso de miles de dominios. El malware actual suele contener un algoritmo interno para generar dominios aleatorios (que probablemente no existen), desde donde descargarán nuevas funcionalidades. Los atacantes compran los dominios y cuelgan en ellos la actualizaciones para que el malware salga a buscarlas cuando los genere internamente. Cuando un laboratorio consigue descifrar ese algoritmo de generación, suele adelantarse a los atacantes y registrar ellos mismos esos dominios. Así podemos saber, según las visitas que reciba el dominio, el número de infectados. Normalmente el malware genera un número manejable de dominios cada día, y los atacantes registran solo algunos. Aunque se descifró el algoritmo de generación de dominios de Conficker, este pasó a generar 50.000 dominios aleatorios (de 4 a 9 letras) al día. Tanto dominio, por supuesto haría que muchos de los generados coincidiesen con dominios ya registrados y legítimos que todos los sistemas infectados visitarían. Los medios advirtieron que Internet se colapsaría por esta razón el 1 de abril.

Fracasos técnicos

* Pocos. Prácticamente su único problema ha sido la detección. Toda versión conocida de Conficker es detectada normalmente por más del 90% de los motores que alojamos en VirusTotal. Las casas se han volcado con él y lo detectan casi unánimemente. Es por eso que Conficker, aunque interesante, pasa automáticamente a ser una amenaza de mucho menos calibre. ¿Qué hubiera pasado si a pesar de toda esa cobertura mediática, los niveles de detección fuesen bajos? No es posible esta combinación. Cuanto más se hable de un malware, más detectado es. La pregunta es qué hubiera ocurrido sin esta cobertura mediática. La respuesta es que los niveles de detección hubieran sido mucho menores, y la infección mucho más discreta y mayor. En otras palabras, lo mismo que está ocurriendo ya con el resto del malware industrial, mucho más abundante, que se crea hoy en día. Los verdaderamente peligrosos que no aparecen en titulares.

Porque, ¿qué puede resultar más peligroso?, este ejemplar:

http://www.virustotal.com/analisis/963521ca26f84db93146f0b7891d0f1f

o este:

http://www.virustotal.com/analisis/07cd5b586a82487949ba18d03bdab8c7

El primero es un Conficker detectado por el 95% de los motores. El segundo es un troyano especialmente destinado al robo de contraseñas, que lleva más de un mes en nuestra base de datos. En ningún momento ha sido detectado por más de dos motores.

Conficker es peligroso, no cabe duda, es una grave plaga que hay que combatir. Pero no es el único malware contra el que se debe luchar.

Sergio de los Santos
[email protected]

Fuente: Hispasec

View original post here:
Éxitos y fracasos de Conficker |

La ‘Liga Conficker’ da pelea a la amenza de seguridad en Internet

Posted on by
Reply

ICANN está liderando a los white hats (hackers éticos) en una “extraordinaria batalla tras bambalinas” contra las fuerzas detrás del malware Conficker, informa John Markoff en el Times.

Dancho Danchev señaló recientemente que:

Entre las innovaciones clave del gusano Conficker (W32.Downadup) está el algoritmo de generación de [nombres de] dominios pseudo-aleatoria usada para la generación dinámica de los lugares de control y comando para hacer casi imposible a los investigadores y la industria que puedan derrotarlos.

La impresionante botnet ha fusionado a los expertos de seguridad mundiales en la llamada Liga Conficker (Conficker Cabal).

“Llegué hasta un general de tres estrella el miércoles y le pregunté si podía ayudarmes para enfretar una botnet de millones de nodos,” dijo Rick Wesson, un investigador de seguridad informática involucrado en combatir el Conficker. “No obtuve una respuesta.”

Imagínese al Conficker como una red bot en la nube (botcloud).

El programa Conficker está hecho de manera tal que después de alojarse en las computadoras infectadas, puede ser programado remotamente por software para dar servicio a un vasto sistema de distribución de spam o de otro malware.

En la primer semana de Marzo, la cuarta versión conocida del programa, Conficker C, amplió el número de sitios que puede usar a 50.000. Ese cambio hace virtualmente imposible de detener a los autores del Conficker de comunicarse con su red de equipos zombis (botnet.)

“Vale la pena señalar que esto son tipos que se lo están tomando en serio y no están cometiendo muchos errores,” dijo José Nazario, un miembro del grupo de seguridad internacional e investigador de Arbor Networks, una compañía en Lexington, Mass., que provee herramientas de monitoreo y de desempeño de redes. “Se la están jugando por completo.”

No es sólo una botnet en la nube, sino una con implicancias de seguridad nacional muy reales, le dijo al Times Phillip Porras, un director de investigaciones de SRI International y uno de los autores de un informe sobre el virus.

Quizás el aspecto más obviamente aterrador del Conficker C sea su claro potencial para hacer daño. Quizás en el mejor de los casos, Conficker pueda ser usado como una plataforma sostenida y redituable para fraudes y robos en Internet. En el peor escenario, Conficker podría volverse una poderosa arma ofensiva para realizar ataques de guerra concertados contra la información que podrían afectar no sólo a los países, sino a Internet en sí misma.

Traducción exclusiva de Segu-info: Raúl Batista
Autor: Richard Koman
Fuente: ZDnet

Resumen a mostrar


Contenido completo

Here is the original post:
La ‘Liga Conficker’ da pelea a la amenza de seguridad en Internet |

Conficker.D y la activación el 1ro. de Abril

Posted on by
Reply

La nueva variante de Conficker en aparecer en escena, la variante Conficker.D, ha causado interés en los medios y preocupación entre los administradores de TI y usuarios en general.

El hecho de que esta variante active parte de su funcionalidad ofensiva en el 1ro. de Abril parece haber sido la causa principal del interés que ha despertado esta variante. Sin embargo, un análisis juicioso nos lleva a concluir que esta variante es una de las menos malignas de la familia de Conficker, he aqui las razones:

  1. La variante de Conficker.D, a diferencia de otras variantes de la familia Conficker como Conficker.B y Conficker.C, no se propaga utilizando medios de almacenamiento removibles, ni recursos compartidos en red. El único vector de infección que utiliza , es la vulnerabilidad descrita en el boletin de seguridad MS08-067. Si ya se instaló esta actualización, se está protegido contra esta variante y no hay nada de que preocuparse.
  2. A diferencia de otras variantes de la familia Conficker, la variante Conficker.D después de instalarse no construye una lista de URLs de inmediato para tratar de conectarse y bajar archivos. Esta actividad solo la va a llevar a cabo, pero hasta despues del 1ro. de Abril. Por supuesto, esto es mas bueno que malo. A diferencia de Conficker.B que lo hace inmediatamente despues de instalarse, Conficker.D nos da un espacio de tiempo (hasta el primero de Abril) para poder detectar y eliminar la infección antes de que el gusano baje archivos maliciosos de sitios en internet que permitan que terceros tomen el control de nuestro sistema (instalando un módulo de control y haciéndolo parte de un botnet, o instalando un rootkit, etc).

Debido a estas razones, tenemos menos que temer de Conficker.D que de las otras variantes que componen la familia, siendo esta variante, junto con Conficker.A las menos peligrosas de la familia Conficker, y las dos únicas variables que utilizan un solo vector de infección (la explotación de la vulnerabilidad descrita en MS08-067) para propagarse.

Nuestras recomendaciones siguen siendo las mismas anteriormente descritas y nuestras soluciones de antimalware son capaces de detectar esta variante al utilizar las nuevas definiciones disponibles. Esto incluye Windows Live One Care, los productos Forefront y la versión gratuita del examen de seguridad de Windows Live.

Si Ud. cree que pueda estar infectado con este gusano, contacte a Microsoft en http://support.microsoft.com/contactus

Fuente: blogs.technet

More here:
Conficker.D y la activación el 1ro. de Abril |

Identifican una tercera y más agresiva version del Conficker

Posted on by
Reply

Una tercera versión de Conficker/Downadup fue identificada por Symantec, que dice que la nueva variante le da a las máquinas infectadas instrucciones más potentes para deshabilitar herramientas antivirus y de análisis, entre otras acciones.

W32.Downadup.C es un componente modular para máquinas infectadas actualmente con Downadup. Esta variante de Downadup, también conocida como Conficker, no intenta auto-replicarse y se comporta más como un Troyano que como un gusano, dice Vincent Weafer, vice presidente de Symantec Security Response.

“Piensen en el como un módulo que es más agresivo, más robusto para defenderse,” dice Weafer.

La variante W32 Downadup.C fue descubierta hoy (ayer) en un honeypot de Symantec y aun está bajo investigación. Symantec espera identificar sus capacidades adicionales en poco tiempo más, dijo Weafer, que agrega que Symantec no ha visto aún el W32.Downadup.C directamente en las redes de los clientes.

Las primeras versiones de Downadup intentaban deshabilitar el programa antivirus, pero la tercera versión representada en el módulo Downadup.C está diseñada principalmente para proveer más acciones protectivas alas maquinas Windows infectadas de modo que puedan defenderse mejor de los antivirus y otros métodos de erradicación.

“Es más agresivo, tiene más servicios,” dice Weafer.

Traducido para blog Segu-info por Raúl Batista
Autor: Ellen Messmer
Fuente: Networkworld

See the rest here:
Identifican una tercera y más agresiva version del Conficker |