¿Tienes una cuenta? identificate: Usuario Contraseña o puedes obtener una gratis.

conficker version 3

, working
31/mar/2009::16:41
Sistemas

El dia de mañana, los equipos infectados con este gusano seran actualizados. Hay que prevenirse y verificar que no tengamos infecciones, asi que me encontre este interesantisimo articulo (y largo) pero sin duda que todos deberian de leer.

Conficker es un gusano informático, un programa que se infiltra en nuestro sistema, con la posibilidad de dañar y realizar acciones sin el conocimiento del usuario. La peculiaridad de un “gusano”, es la posibilidad de duplicarse a sí mismo. Los gusanos se multiplican al explotar algunas vulnerabilidades de los sistemas operativos, lo cual llevó a Microsoft, por ejemplo, a crear los “martes de parches”, donde Microsoft lanza actualizaciones el segundo martes de cada mes, para poder cerrar estos agujeros en el sistema operativo.

Conficker ha sido, quizás, uno de los gusanos más complicados de manejar y de destruir por sus métodos de ataque, y las formas con las cuales se oculta y protege para evitar su eliminación.

Pero para entender un poco más, es necesario ver un poco de historia (aqui el timeline completo, vía last watch dog)

  • Octubre, 2008. – Se descubre una vulnerabilidad en Windows, lo que obliga a Microsoft a sacar un parche con prioridad “Crítica” de urgencia para evitar que el virus se propague. Como pueden ver en el boletín MS08-067, este virus afecta a todas las versiones de Windows, incluyendo Windows 7 Beta.
  • Noviembre, 2008 – Ahora identificado, Conficker, un gusano que se auto-reproduce, buscando en la web otras PCs no parchadas, empieza a expandirse. Como todos los parches de Microsoft, no todos lo aplican debido a no actualizar regularmente el sistema operativo / tener una copia ilegal o pirata de la misma, así que el virus llega a un gran número de PCs en poco tiempo. El gusano tiene la posibilidad de contactarse con ciertos dominios (eligiéndolo de una lista de 250)  y recibir instrucciones, para saber cómo actuar, convirtiéndolo, efectivamente, en un botnet; es decir, controlar a todas las PCs infectadas, sin conocimiento del usuario, para realizar cualquier tarea que le venga en gana al creador
  • Diciembre, 2008 – Conficker.B, la segunda variante, empieza a multiplicarse en diferentes PCs, llegando a infectar millones de PCs para Enero.
  • Febrero, 2009 – Microsoft forma “Conficker Cabal”, una suerte de unión para luchar contra el gusano, ofreciendo $250,000 de recompensa por información que pueda llevar a la captura de los creadores. El Cabal logra identificar los 250 dominios y casi pone fin a Conficker.
  • Marzo, 2009 -  Dado a que aún muchas PCs permanecían sin actualizar (y por lo tanto, infectadas todavía con Conficker) Todas las PCs infectadas con Conficker.B (y B++) son actualizadas a Conficker.C, la más peligrosa y más reciente variante, y la que se activará, supuestamente, el primero de Abril.

Conficker.C : Métodos de infección / protección

Conficker infecta haciendo un Remote Procedure Call (RPC), obligando a la PC a ejecutar código, lo que finalmente lleva a que ésta quede contagiada.

Los métodos de infección son a través de la Red (Conficker.C incluye un generador de passwords que intenta ingresar en redes privadas por “fuerza bruta”), buscando PCs sin parchar en las redes locales e infectándolas.

También, se aprovecha de la autoejecución de memorias USB en Windows, para infectar PCs apenas ingresemos una memoria que contenga el virus.

 

Las maneras con las que este gusano se multiplica, oculta, y protege en nuestra PC son extensos, y una de las razones por las cuales sigue infectando el 6% del total de PCs del mundo.

  • En primer lugar, se copia dentro de la carpeta de sistema, además de dejar copias de sí mismo en otros directorios de Windows. Estas copias son escondidas, puestas como sólo lectura, y son bloqueadas,  restringiendo el acceso de usuarios.
  • Además, añade una entrada en el Registro para ejecutarse apenas se inicia en el sistema.
  • Registra un servicio con un nombre al azar, combinando palabras clave para parecer como un proceso del sistema
  • Deshabilita servicios del sistema que tienen que ver con actualizaciones. Es decir, nos prohibe actualizar el sistema operativo, y acaba con todos los procesos que tengan que ver con seguridad, o puedan presentar una posible terminación para éste. Parcha ciertos procesos para prevenir que algunos productos que se presenten como amenazas para el  gusano, puedan destruirlo
  • El mecanismo de actualización de Conficker.C es impresionante. Parece haber sido diseñado para evitar todo tipo de defensa y, gracias a que puede actualizarse ya sea accediendo a esa lista de 50,000 dominios, o a través de otras PCs vía P2P, lo que hace que su eliminación sea bastante molestoso

Qué pasará el 1º de Abril?

Ahora, a pesar de lo peligrosa de la naturaleza del virus, y de lo propagado que está (alrededor de 12 millones de PCs infectadas / 6% del total de computadoras del mundo), algunos medios de comunicación parecen implicar el fin del mundo.

Pero el problema, y la causa de tanto pánico, es que no sabemos qué es lo que sucederá el 1º de Abril. Conficker.C está programado para recibir “instrucciones nuevas”, pero hasta ahí se extiende nuestro conocimiento . Qué son estas instrucciones, o qué es lo que harán, siguen siendo desconocidas. Esa es, quizás, la causa de tanto miedo.

Hasta el momento, Conficker ha estado buscando esa lista de 250 dominios para descargar nuevas versiones de sí mismo y actualizarse y se cree que, para el primero de abril, Conficker se actualizará para acceder a una lista de 50,000 dominios. Además, ahora no necesita acceder a estos dominios para actualizarse. Al tener funciones p2p, puede conectarse a otras PCs infectadas y apoyarse de estas para actualizarse.

Por lo tanto, se cree que no sucederá nada grande el primero de abril (salvo una actualización de Conficker.C y quizás una mayor propagación). Pero tampoco podemos subestimarlo. Conficker es un gusano que pone a disposición de sus creadores 12+ millones de computadoras de usuarios infectados, capaces de comunicarse entre sí (el virus trae funciones peer to peer) sin necesidad de un servidor para actualizarse, para poder hacer lo que les venga en gana, incluyendo la ejecución de programas. Qué es lo que harían ustedes con 12+ millones de computadoras a su disposición?

Curar y evitar infeccion

Este articulo fue tomado enteramente de http://www.arturogoga.com



Escuchando: [Queen vs The Miami Project] Another One Bites The Dust

[ Enlace | Dos es mejor que uno... supongo :/ ] del.icio.us del.icio.us Estrella este post *****
comparte esto
Comparte esta entrada (del.icio.us, por correo, etc) o agrega este blog a tu Google Reader.

Entradas relacionadas:
  1. Opera mini
  2. Endian 2.3
  3. el tio gates lo sabe todo Oo
  4. Combinacion de conceptos
  5. Ubuntu 8.04

Han escrito 2 comentarios de «conficker version 3»

foto shiranui.jp
Martes 31 de marzo, 2009 17:15.

ahh!! eso es preocupante, mejor migremos a linux!!

foto ramselot
Martes 31 de marzo, 2009 22:15.

master pagli, precisamente ando buscando como quitarlo de mi pc.
espero lograrlo a tiempo, gracias por la info..

saludos

Si usted tiene una cuenta en ymipollo.com, identifíquese:
Usuario: Password: (recordar identificación en este blog)
De lo contrario, escriba sus datos (todos los campos son obligatorios.):
Nombre: Correo E.:
Blog/Web: recordar datos.
[ si eres visitante puedes obtener tus comentarios con foto suscribiendote a gravatar. Tenga en cuenta que como usuario anónimo, su dirección IP será almacenada y mostrada al dueño de la entrada en cada comentario. ]
Escriba su comentario:
Por favor escriba respecto al post, procure revisar su ortografía. Si su comentario no es respecto al tema, por favor no lo haga.

Usted escribirá este mensaje como:
Es posible que su comentario no aparezca de forma inmediata (o que nunca aparezca) eso depende de la decisión del autor de este blog.

enviarme correo cuando alguien comente suscribirse a este post.