El Virus Conficker: Una Guía Para Conocerlo

Aunque a la mayoría de las persona no les suena el virus Conficker, dicho virus es causante de una epidemia a nivel global en computadoras.

¿Qué es el virus Conficker?

Técnicamente el Conficker es un gusano también conocido como Win32/Conficker, Worm:Win32/Conficker.A (MS OneCare), W32.Downadup (Symantec) , Downup, Downandup y Kido, y es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows. El gusano explota una vulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, y el beta de Windows 7.

El virus se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de WIndows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo. Win32/Conficker.A es un gusano que explota la vulnerabilidad MS08-067 para poder dispersarse, puede también descargar varios archivos y ejecutarlos.

Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima. El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe.

El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250.000 a quien entregase información que lleve al arresto y convicción de los criminales tras la creación del virus.
El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que arregla la vulnerabilidad de la que se aprovecha el virus. Existen herramientas de eliminación de Microsoft, ESET, Symantec y Kaspersky Lab, mientras que McAfee sólo puede eliminarlo a través de un escaneo bajo demanda. Los parches entregados por Microsoft son aplicables a Windows Vista, Windows XP que posea Service Pack 2 ó 3 y para Windows 2000 SP4, pero no ha lanzado parches para versiones anteriores de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.

Método de infección

Cuando es ejecutado el Win32/Conficker.A crea una copia de si mismo en el directorio %System% conun nombre aleatorio.

El gusano inyecta su código en el proceso "services.exe" residente ne memoria hacienda dificil su limpieza.

El Conficker crea también un servicio con las siguientes características, para que se inicie automáticamente al inicio del sistema:

Nombre del Servicio: netsvcs
Ruta al ejecutable: %System%\svchost.exe -k netsvcs

Y agrega la siguiente entrada al registro:

HKLM\SYSTEM\CurrentControlSet\Services\\Parameters\ServiceDll = "%System%\"

La ubicación por defecto de %System% para Windows 2000 y NT es C:\Winnt\System32; para r 95,98 y ME es C:\Windows\System; para XP y Vista es C:\Windows\System32.

Conficker descarga y ejecuta varios archivos

Chequea la fecha del sistema e intenta descargar y ejecutar algún archivo. Se sabe que el 1 de Diciembre se conecta con el dominio www.traficconverter.biz, e intenta descargar un archivo desde esa ubicación:

http://trafficconverter.biz//loadadv.exe

Despues, en fechas posteriores al 25 de Novimebre intenta conectarse a los siguientes dominios:

ahayw.info
ajcminmqpeu.com
anosb.biz
aqgcurmt.net
bdfbobhuls.com
bjmqxoxbmyq.org
bszeu.info
cfcpreiwtgx.net
cpfgbuwqv.biz
cukpubgb.net
dconkp.com
dpxzsrjhsn.org
dtyqryfi.biz
dviwvh.net
dwmpveim.info
dxnlypjjxp.biz
eaguzulxdr.org
ekrohmqa.info
eoblibwqaig.info
epvzvuah.info
ethogxkt.net
euwqeixq.biz
exxcpxm.net
eyjayqmwxxo.org
ezhvnjlvuk.org
fdzwsak.net
gatkcy.org
gceqy.info
ggcnqnr.info
gkmdbporqmp.biz
gmtgpb.org
guiahproe.info
gxepchol.net
gztql.net
haqrcz.com
hkqrhqev.com
hndrijmu.org
hvxmlcc.org
idahdfyojhz.com
ipbdwihw.info
iquvtfhm.net
irhtphctgn.com
ivouyvxaf.net
jfvyipo.info
jhhwydtk.com
jjbuafs.info
jptplynb.org
jutsyu.com
kagvjo.com
kfzksydrct.org
khvdkdjnrhr.biz
ktivtbse.net
lbori.com
ltxbrwfosrg.net
mhjhb.com
mtqcpiwod.biz
nsjmewgdb.com
ntshnjyxfh.net
nxphotp.com
ocykqj.biz
oenjrcaly.net
oororgpkbp.com
ozlqvnkiq.net
palrw.org
pmotqmf.com
pvuxb.info
qffszcfgyzn.org
qfoilcqp.com
qjafgfp.net
rfduzjbztg.biz
riuvunis.info
rlbidexd.org
rntbogfz.biz
rtkrhxsp.biz
ruolomicarp.org
rxytvgkapvw.biz
safxg.net
sdxkcnzcvhd.org
shbyxebiec.biz
srsoeggve.org
tbkmloh.net
tezjm.net
tilazlfn.com
tqlxquy.org
trxho.org
uiiwmmgr.com
upyuqxpmlxt.net
vdunf.net
vtewiyny.info
vuahzmvf.biz
vweoof.org
wkjhjr.com
xehlydgan.net
xmmzcsqm.biz
xtjejduc.org
xxwoteojg.biz
xytbvkrqhu.info
ybhufq.net
yenhbrt.biz
yfczve.info
ylfamhcgn.net
ylzbgyorfy.org
ysxbkquj.info
ythekdrar.net
yudxsol.org
yzbvrteij.biz
yzpjvpkdtq.biz
zjxuw.org
zpqhr.biz
zuuroktw.biz
zzkjecmf.com

Conficker también descarga un archivo de referencia desde la siguiente direccion:

http://www.maxmind.com//GeoIP.dat.gz

Funcionalidad de Backdoor o Puerta Trasera

Win32/Conficker.A inicia un servidor HTTP sobre un sistema afectado y abre un Puerto aleatorio. Esto permite que una copia del gusano para ser descargado por sistemas objetivo.
Win32/Conficker.A trata de obtener la direccion IP del sistema afectado consultado los sigueintes sitios web:

www.getmyip.org
getmyip.co.uk
checkip.dyndns.org

Aunque una sola copia del gusano se ejecuta en el sistema afectado, cofnicker crea un mutex en el formato "Global\-". Por ejemplo, "Global\19048-69485".

Abre un Puerto aleatorio entre los puertos 1024 y 10000 y actua como un servidor web. Se propaga en computadoras aleatoriamente explotando la vulnerabilidad MS08-067. Una vez que la vulnerabilidad en la computadora remota es encontrarada, esa computadora descargara una copia del gusano via http utilizando el Puerto aleatorio abierto por el gusano.

El gusano usualmente utiliza una archivo con extensión JPG cuando es copiado y guardado sobre la carpeta System como una librería DLL.

Es interesante que el gusano parcha el sistema en memoria, de modo que la computadora no será vulnerable nunca mas. En realidad no es que el gusano protega la computadora, sino que evita que otros gusnaos lo infecten.

¿Cómo saber si Conficker ha infectado un ordenador?

Una suite completa de protección antivirus con firmas de detección actualizadas es capaz de detectar Conficker. Cualquiera que no haya hecho sus deberes y haya dejado puertas traseras del sistema abiertas o que no haya aplicado los parches críticos tendrá que realizar un gran esfuerzo para desinfectar su ordenador.

Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ [Random name for the service]
Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\[Random name for the service]\Parameters
ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center
• Windows AutoUpdate
• Windows Defender
• Error Reporting Service

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes y portales de información sobre malware:

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“, „symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“, „etrust“, „networkassociates“, „computerassociates“, „f-secure“, „kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“, „drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,
„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“, „hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“, „prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“, „arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• http://checkip.dyndns.org
• http://getmyip.co.uk
• http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

• ask.com
• baidu.com
• google.com
• msn.com
• www.w3.org
• yahoo.com

Los ordenadores que accedan a estos dominios pueden estar infectados.


Wikipedia

Ca.com








0 comentarios: