Picture 1

 

En realidad, no. No es el fin del mundo. Y probablemente, no ocurra nada grande con este gusano (hasta el momento, a pesar de haber contagiado más de 10 millones de PCs, no ha hecho nada “malicioso”). Pero no es mala idea actuar ahora, y eliminarlo.

Por supuesto, los medios masivos han saltado al tema y exagerado todo (como sucedió con otros virus que llegaron a oídos de la televisión o los diarios), pero luego de darle un vistazo a la naturaleza del virus, y el potencial que tiene, lo mejor que podemos hacer es asegurarnos, simplemente, de no tenerlo de huésped.

Conficker ataca el 1º de abril. Pero qué es Conficker? Qué se espera que haga el 1ero de abril? Y sobre todo, cómo protegernos ante esto? Esto es lo que veremos hoy, a escasos días del supuesto “ataque”´.

SRI tiene un impresionante artículo al respecto, tratando al detalle todo lo relacionado a ConFicker. Lo que veremos  hoy, es un simple resumen, un vistazo rápido de lo que es, y lo que hace el virus. Además, claro, de cómo detectarlo y eliminarlo

Es sumamente importante verificar que no estemos infectados, o si lo estamos, eliminar el virus antes del 1º de Abril para evitar, posiblemente, una mayor infección a nivel mundial. Aún así no pase nada, al menos estaremos protegidos.

Algo de historia / Qué es Conficker?

Qué es Conficker?

Conficker es un gusano informático, un programa que se infiltra en nuestro sistema, con la posibilidad de dañar y realizar acciones sin el conocimiento del usuario. La peculiaridad de un “gusano”, es la posibilidad de duplicarse a sí mismo. Los gusanos se multiplican al explotar algunas vulnerabilidades de los sistemas operativos, lo cual llevó a Microsoft, por ejemplo, a crear los “martes de parches”, donde Microsoft lanza actualizaciones el segundo martes de cada mes, para poder cerrar estos agujeros en el sistema operativo.

Conficker ha sido, quizás, uno de los gusanos más complicados de manejar y de destruir por sus métodos de ataque, y las formas con las cuales se oculta y protege para evitar su eliminación.

Pero para entender un poco más, es necesario ver un poco de historia (aqui el timeline completo, vía last watch dog)

  • Octubre, 2008. – Se descubre una vulnerabilidad en Windows, lo que obliga a Microsoft a sacar un parche con prioridad “Crítica” de urgencia para evitar que el virus se propague. Como pueden ver en el boletín MS08-067, este virus afecta a todas las versiones de Windows, incluyendo Windows 7 Beta.
  • Noviembre, 2008 – Ahora identificado, Conficker, un gusano que se auto-reproduce, buscando en la web otras PCs no parchadas, empieza a expandirse. Como todos los parches de Microsoft, no todos lo aplican debido a no actualizar regularmente el sistema operativo / tener una copia ilegal o pirata de la misma, así que el virus llega a un gran número de PCs en poco tiempo. El gusano tiene la posibilidad de contactarse con ciertos dominios (eligiéndolo de una lista de 250)  y recibir instrucciones, para saber cómo actuar, convirtiéndolo, efectivamente, en un botnet; es decir, controlar a todas las PCs infectadas, sin conocimiento del usuario, para realizar cualquier tarea que le venga en gana al creador
  • Diciembre, 2008 – Conficker.B, la segunda variante, empieza a multiplicarse en diferentes PCs, llegando a infectar millones de PCs para Enero.
  • Febrero, 2009 – Microsoft forma “Conficker Cabal”, una suerte de unión para luchar contra el gusano, ofreciendo $250,000 de recompensa por información que pueda llevar a la captura de los creadores. El Cabal logra identificar los 250 dominios y casi pone fin a Conficker.
  • Marzo, 2009 –  Dado a que aún muchas PCs permanecían sin actualizar (y por lo tanto, infectadas todavía con Conficker) Todas las PCs infectadas con Conficker.B (y B++) son actualizadas a Conficker.C, la más peligrosa y más reciente variante, y la que se activará, supuestamente, el primero de Abril.

Conficker.C : Métodos de infección / protección

Conficker infecta haciendo un Remote Procedure Call (RPC), obligando a la PC a ejecutar código, lo que finalmente lleva a que ésta quede contagiada.

Los métodos de infección son a través de la Red (Conficker.C incluye un generador de passwords que intenta ingresar en redes privadas por “fuerza bruta”), buscando PCs sin parchar en las redes locales e infectándolas.

También, se aprovecha de la autoejecución de memorias USB en Windows, para infectar PCs apenas ingresemos una memoria que contenga el virus.

 

Las maneras con las que este gusano se multiplica, oculta, y protege en nuestra PC son extensos, y una de las razones por las cuales sigue infectando el 6% del total de PCs del mundo.

  • En primer lugar, se copia dentro de la carpeta de sistema, además de dejar copias de sí mismo en otros directorios de Windows. Estas copias son escondidas, puestas como sólo lectura, y son bloqueadas,  restringiendo el acceso de usuarios.
  • Además, añade una entrada en el Registro para ejecutarse apenas se inicia en el sistema.
  • Registra un servicio con un nombre al azar, combinando palabras clave para parecer como un proceso del sistema
  • Deshabilita servicios del sistema que tienen que ver con actualizaciones. Es decir, nos prohibe actualizar el sistema operativo, y acaba con todos los procesos que tengan que ver con seguridad, o puedan presentar una posible terminación para éste. Parcha ciertos procesos para prevenir que algunos productos que se presenten como amenazas para el  gusano, puedan destruirlo
  • El mecanismo de actualización de Conficker.C es impresionante. Parece haber sido diseñado para evitar todo tipo de defensa y, gracias a que puede actualizarse ya sea accediendo a esa lista de 50,000 dominios, o a través de otras PCs vía P2P, lo que hace que su eliminación sea bastante molestoso

Pueden darle un vistazo y sorprenderse con la manera en la que Conficker infecta nuestro sistema, dándole un vistazo a este Link

 

Qué pasará el 1º de Abril?

Picture 4

Ahora, a pesar de lo peligrosa de la naturaleza del virus, y de lo propagado que está (alrededor de 12 millones de PCs infectadas / 6% del total de computadoras del mundo), algunos medios de comunicación parecen implicar el fin del mundo.

Pero el problema, y la causa de tanto pánico, es que no sabemos qué es lo que sucederá el 1º de Abril. Conficker.C está programado para recibir “instrucciones nuevas”, pero hasta ahí se extiende nuestro conocimiento . Qué son estas instrucciones, o qué es lo que harán, siguen siendo desconocidas. Esa es, quizás, la causa de tanto miedo.

Hasta el momento, Conficker ha estado buscando esa lista de 250 dominios para descargar nuevas versiones de sí mismo y actualizarse y se cree que, para el primero de abril, Conficker se actualizará para acceder a una lista de 50,000 dominios. Además, ahora no necesita acceder a estos dominios para actualizarse. Al tener funciones p2p, puede conectarse a otras PCs infectadas y apoyarse de estas para actualizarse.

Por lo tanto, se cree que no sucederá nada grande el primero de abril (salvo una actualización de Conficker.C y quizás una mayor propagación). Pero tampoco podemos subestimarlo. Conficker es un gusano que pone a disposición de sus creadores 12+ millones de computadoras de usuarios infectados, capaces de comunicarse entre sí (el virus trae funciones peer to peer) sin necesidad de un servidor para actualizarse, para poder hacer lo que les venga en gana, incluyendo la ejecución de programas. Qué es lo que harían ustedes con 12+ millones de computadoras a su disposición?

 

Como curarnos del gusano / evitar contagios

Cómo saber si estamos contagiados con Conficker?

Otra manera rápida de ver si estamos infectados, es simplemente tratar de entrar a websites como microsoft.com, kaspersky.com, mcafee.com y similares. Dada la “autoprotección” del gusano, que elimina software de protección para evitar ser eliminado, una de sus acciones es prohibirnos el acceso a estas páginas.

Programas

F-Secure tiene una pequeña utilidad, llamada F-Secure Easy Clean, gratuita, que se ejecuta, busca y elimina la infección.

Picture 2

McAffee Stinger es otra alternativa. Es un programa independiente que busca y elimina el Conficker. W32/Conficker Stinger v10.0.1.534

 

Aparte de correr ejecutables de dudosa procedencia (como descargar programas ilegales, por ejemplo), un método muy popular de Conficker para contagiar, es hacerlo a través de USBs.

 

Desactivar el AutoRun

Dado que esta es una muy popular forma de transmisión de todos los gusanos en general, lo mejor que podemos hacer, es desactivarla.

Picture 5Cada vez que ingresamos un USB en nuestra PC, Windows busca un archivo llamado “autorun.inf” (al igual que en los CDs), con instrucciones para averiguar qué hacer. Este archivo, por supuesto, puede ser creado por el gusano para decirle a Windows que apenas sea introducido, ejecute el gusano.

 

Si bien podemos evitar ejecutar USBs modificando el registro, la manera más simple, es utilizando Panda USB Vaccine. es un programa pequeño creado por Panda Security que simplemente se encarga de hacer los cambios necesarios para deshabilitar el AutoRun en nuestra PC, cuando elegimos "Vaccinate Computer”. Vaccinate USB se encarga de crear un archivo autorun.inf protegido para que no sea leído, creado, borrado o modificado, evitando que nuestro USB sea un portador. Link 

Una vez hecho todo esto, por supuesto, es hora de actualizar nuestro antivirus. O si se decepcionaron porque el que utilizan actualmente nunca encontró Conficker, denle un vistazo a Avira Antivir 9

 

Conclusiones

Picture 8 Como lo dicen los de F-Secure, probablemente sea mucho escándalo por un gusano que no llegue a hacer nada el primero de abril, pero por qué no aprovechar esta advertencia, para eliminar uno de los más populares virus de nuestro sistema?

Quién sabe, si los analistas se equivocan y en efecto la actualización le da al gusano la posibilidad de pensar y  Skynet nace de este ataque, al menos moriremos en manos de los Terminators sabiendo que nosotros no fuimos en parte responsables de este ataque…Así que pásenle las utilidades y herramientas de detección y eliminación a quienes conozcan!

 

Picture 9

Y por cierto, esto sólo tiene que ver con Windows. Si están en cualquier otro sistema operativo, no hay de qué preocuparse (por ahora).

  • Benjamin

    Arturo:

    Desde ayer y hasta ahora, que entro a tu pagina con Firefox, Kaspery Internet Security 2009 me advierte que se automaticamente al abrir tu Pagina se pretende descargar un Virus conocido como Trojan- Downloader.js.Psyme.ano Que mi Kaspery Afortumadamente Denega.

    Ojala lo puedas limpiar de tu Blog por el bien de los lectores.

    Saludos.

    • Gracias por el dato!
      Ingresé a la pagina desde una PC con Windows con antivirus activado, y no me dio notificación alguna. Sucede en alguna pagina especifica, o en la principal?

  • Julio

    Arturo, sabes si es que hay alguo para evitar trojanos en mac osx? aveces cuando uso firefox en osx me sale un aviso ke kiere ke escanee mi “PC” y luego aparece una ventana de windows xp. lol

  • Benjamin

    De Regreso; Arturo acabo de volver a entrar y nuevamente Kaspersky detecta el mismo Trojano desde que abro la pagina principal y denega el acceso.
    Esto sucede al entrar a tu blog o abrir una pestaña sobre alguna noticia.
    Ojala lo puedas quitar para quienes no tienen protección.

  • anrras

    Arturo, excelente artículo como siempre, muchas gracias por los programas que recomendaste y ojala no pase nada malo el 1 de abril; pero igual creo el panico siempre sucede cuando se lanza un nuevo virus fuera de lo común…

    PD: this is the rise of Skynet!!! 😉

  • Muy buen post Arturo, voy a tomar las medidas recomendadas.
    Pd1. Espero que sea solo una broma por el 1 de abril.
    Pd2. Ingresando desde firefox con Esed Nod32 (20090331) no me muestra ninguna advertencia.

  • Benjamin

    Hoy 31 de Marzo, entro a la pagina y al articulo sin ningun problema o advertencia de Virus.
    Que Bueno que ya paso todo.

  • Hay Windows, hay Windows, cuando no!

  • Dante

    Ay Linux, ves de las emociones q te pierdes? xD

  • rafa

    oye muy buena info¡ gracias. (por si si por si no a respaldar se ha dicho)

  • VaLeK

    no pinches mames!! Ò.ó
    hay ke conocer bien el SO para programar un bicho como el confiker he.. mis respetos para el chango ke lo diseño y programo, se nota ke se llevo su tiempo en hacerlo…

    en el link donde se detalla lo ke hace para infectar el sistema me kede con cara de “juat??” conforme lo fui leyendo, deseguro ha de ser algun judas de microsoft, siempre hay alguien inconforme con sus honorarios o pk lo hicieron trabajar demas en la semana o no le dieron vacaciones, eso ha de ser…

    i respecto a lo ke menciona dante, los linuxeros se ve ke son mas conservadores jeje (sin ofender aclaro) kienes usamos windows nos gusta la aventura xÐ

    saludos 😛

  • Cambiemonos todos a GNU/Linux y olvidemosnos de estas cosas. Recien me he enterado de esto el 2 de abril, un día despues de su activación y de casualidad en realidad.
    Saludos!

  • giankarls

    Bueno interesante esto en evrdad siempre hay qu cuidarnos y nose trata de correr riezgos emocionantes porque en una empresa es un asunto delicado la informacion y la data de la empresa en cambio a una estacion un chico qu ve sus pelis pornos normal ps pero esbueno mejor poner la data en linux para evitar problemas yaqu segun vi el virus es un señor virus gusano ehhh que podria actualizarse no de los servers sino de sus hermanitos que estan en la red … buen documento brother saludos

  • Yo creo que este conficker es obra del gobierno de EE.UU o al menos de unas de sus agencias de dominacion del mundo, lamentablemente que sucedan este tipo de cosas, asi como el mismo gobierno de EE.UU estruyo el World trade center, quizas quiere destruir EL INTERNET, ya que es EL UNICO SITIO LIBRE DEL PLANETA DONDE PUEDES OPINAR Y HACER LO QUE DESEES, ESA ES MI TEORIA Y LA VERDAD NO ESTA LEJOS DE SERLA.

    TENGAMOS CUIDADOS CON LOS CABALLEROS DE LA NUEVA ORDEN MUNDIAL.

  • mi comentario.todos los gobernantes del planeta,los grandes cintificos,mas que nada los que finansean esos laboratorios de las ciencia.saben que esta pasando.yo quesoy el mas ignorante del planeta puedo ver las causas de la destruccion de este.disen que sembrando arboles se compondra, para mi no es la solucion.La humanidad sierto contribuido en la destruccion, pero comodige antes los gobiernos an echo la parte mas grande.las empresas refinerias, porque alos inbercionista prefieren destruir el planeta que dejar de ganar dinero,para que? alfin y alcabo el dinero se queda y la vida se acaba,piensen gobiernos degen de talar la tierra porque cuidan la tala de arboles poro siguen talando lo mas inportante tierra,la que da la vida espero lo lean y piensen