Conficker / Downadup: El fin del mundo el 1 de Abril. Aquí como evitarlo.

Picture 1

 

En realidad, no. No es el fin del mundo. Y probablemente, no ocurra nada grande con este gusano (hasta el momento, a pesar de haber contagiado más de 10 millones de PCs, no ha hecho nada “malicioso”). Pero no es mala idea actuar ahora, y eliminarlo.

Por supuesto, los medios masivos han saltado al tema y exagerado todo (como sucedió con otros virus que llegaron a oídos de la televisión o los diarios), pero luego de darle un vistazo a la naturaleza del virus, y el potencial que tiene, lo mejor que podemos hacer es asegurarnos, simplemente, de no tenerlo de huésped.

Conficker ataca el 1º de abril. Pero qué es Conficker? Qué se espera que haga el 1ero de abril? Y sobre todo, cómo protegernos ante esto? Esto es lo que veremos hoy, a escasos días del supuesto “ataque”´.

SRI tiene un impresionante artículo al respecto, tratando al detalle todo lo relacionado a ConFicker. Lo que veremos  hoy, es un simple resumen, un vistazo rápido de lo que es, y lo que hace el virus. Además, claro, de cómo detectarlo y eliminarlo

Es sumamente importante verificar que no estemos infectados, o si lo estamos, eliminar el virus antes del 1º de Abril para evitar, posiblemente, una mayor infección a nivel mundial. Aún así no pase nada, al menos estaremos protegidos.

Algo de historia / Qué es Conficker?

Qué es Conficker?

Conficker es un gusano informático, un programa que se infiltra en nuestro sistema, con la posibilidad de dañar y realizar acciones sin el conocimiento del usuario. La peculiaridad de un “gusano”, es la posibilidad de duplicarse a sí mismo. Los gusanos se multiplican al explotar algunas vulnerabilidades de los sistemas operativos, lo cual llevó a Microsoft, por ejemplo, a crear los “martes de parches”, donde Microsoft lanza actualizaciones el segundo martes de cada mes, para poder cerrar estos agujeros en el sistema operativo.

Conficker ha sido, quizás, uno de los gusanos más complicados de manejar y de destruir por sus métodos de ataque, y las formas con las cuales se oculta y protege para evitar su eliminación.

Pero para entender un poco más, es necesario ver un poco de historia (aqui el timeline completo, vía last watch dog)

  • Octubre, 2008. – Se descubre una vulnerabilidad en Windows, lo que obliga a Microsoft a sacar un parche con prioridad “Crítica” de urgencia para evitar que el virus se propague. Como pueden ver en el boletín MS08-067, este virus afecta a todas las versiones de Windows, incluyendo Windows 7 Beta.
  • Noviembre, 2008 – Ahora identificado, Conficker, un gusano que se auto-reproduce, buscando en la web otras PCs no parchadas, empieza a expandirse. Como todos los parches de Microsoft, no todos lo aplican debido a no actualizar regularmente el sistema operativo / tener una copia ilegal o pirata de la misma, así que el virus llega a un gran número de PCs en poco tiempo. El gusano tiene la posibilidad de contactarse con ciertos dominios (eligiéndolo de una lista de 250)  y recibir instrucciones, para saber cómo actuar, convirtiéndolo, efectivamente, en un botnet; es decir, controlar a todas las PCs infectadas, sin conocimiento del usuario, para realizar cualquier tarea que le venga en gana al creador
  • Diciembre, 2008 – Conficker.B, la segunda variante, empieza a multiplicarse en diferentes PCs, llegando a infectar millones de PCs para Enero.
  • Febrero, 2009 – Microsoft forma “Conficker Cabal”, una suerte de unión para luchar contra el gusano, ofreciendo $250,000 de recompensa por información que pueda llevar a la captura de los creadores. El Cabal logra identificar los 250 dominios y casi pone fin a Conficker.
  • Marzo, 2009 –  Dado a que aún muchas PCs permanecían sin actualizar (y por lo tanto, infectadas todavía con Conficker) Todas las PCs infectadas con Conficker.B (y B++) son actualizadas a Conficker.C, la más peligrosa y más reciente variante, y la que se activará, supuestamente, el primero de Abril.

Conficker.C : Métodos de infección / protección

Conficker infecta haciendo un Remote Procedure Call (RPC), obligando a la PC a ejecutar código, lo que finalmente lleva a que ésta quede contagiada.

Los métodos de infección son a través de la Red (Conficker.C incluye un generador de passwords que intenta ingresar en redes privadas por “fuerza bruta”), buscando PCs sin parchar en las redes locales e infectándolas.

También, se aprovecha de la autoejecución de memorias USB en Windows, para infectar PCs apenas ingresemos una memoria que contenga el virus.

 

Las maneras con las que este gusano se multiplica, oculta, y protege en nuestra PC son extensos, y una de las razones por las cuales sigue infectando el 6% del total de PCs del mundo.

  • En primer lugar, se copia dentro de la carpeta de sistema, además de dejar copias de sí mismo en otros directorios de Windows. Estas copias son escondidas, puestas como sólo lectura, y son bloqueadas,  restringiendo el acceso de usuarios.
  • Además, añade una entrada en el Registro para ejecutarse apenas se inicia en el sistema.
  • Registra un servicio con un nombre al azar, combinando palabras clave para parecer como un proceso del sistema
  • Deshabilita servicios del sistema que tienen que ver con actualizaciones. Es decir, nos prohibe actualizar el sistema operativo, y acaba con todos los procesos que tengan que ver con seguridad, o puedan presentar una posible terminación para éste. Parcha ciertos procesos para prevenir que algunos productos que se presenten como amenazas para el  gusano, puedan destruirlo
  • El mecanismo de actualización de Conficker.C es impresionante. Parece haber sido diseñado para evitar todo tipo de defensa y, gracias a que puede actualizarse ya sea accediendo a esa lista de 50,000 dominios, o a través de otras PCs vía P2P, lo que hace que su eliminación sea bastante molestoso

Pueden darle un vistazo y sorprenderse con la manera en la que Conficker infecta nuestro sistema, dándole un vistazo a este Link

 

Qué pasará el 1º de Abril?

Picture 4

Ahora, a pesar de lo peligrosa de la naturaleza del virus, y de lo propagado que está (alrededor de 12 millones de PCs infectadas / 6% del total de computadoras del mundo), algunos medios de comunicación parecen implicar el fin del mundo.

Pero el problema, y la causa de tanto pánico, es que no sabemos qué es lo que sucederá el 1º de Abril. Conficker.C está programado para recibir “instrucciones nuevas”, pero hasta ahí se extiende nuestro conocimiento . Qué son estas instrucciones, o qué es lo que harán, siguen siendo desconocidas. Esa es, quizás, la causa de tanto miedo.

Hasta el momento, Conficker ha estado buscando esa lista de 250 dominios para descargar nuevas versiones de sí mismo y actualizarse y se cree que, para el primero de abril, Conficker se actualizará para acceder a una lista de 50,000 dominios. Además, ahora no necesita acceder a estos dominios para actualizarse. Al tener funciones p2p, puede conectarse a otras PCs infectadas y apoyarse de estas para actualizarse.

Por lo tanto, se cree que no sucederá nada grande el primero de abril (salvo una actualización de Conficker.C y quizás una mayor propagación). Pero tampoco podemos subestimarlo. Conficker es un gusano que pone a disposición de sus creadores 12+ millones de computadoras de usuarios infectados, capaces de comunicarse entre sí (el virus trae funciones peer to peer) sin necesidad de un servidor para actualizarse, para poder hacer lo que les venga en gana, incluyendo la ejecución de programas. Qué es lo que harían ustedes con 12+ millones de computadoras a su disposición?

 

Como curarnos del gusano / evitar contagios

Cómo saber si estamos contagiados con Conficker?

Otra manera rápida de ver si estamos infectados, es simplemente tratar de entrar a websites como microsoft.com, kaspersky.com, mcafee.com y similares. Dada la “autoprotección” del gusano, que elimina software de protección para evitar ser eliminado, una de sus acciones es prohibirnos el acceso a estas páginas.

Programas

F-Secure tiene una pequeña utilidad, llamada F-Secure Easy Clean, gratuita, que se ejecuta, busca y elimina la infección.

Picture 2

McAffee Stinger es otra alternativa. Es un programa independiente que busca y elimina el Conficker. W32/Conficker Stinger v10.0.1.534

 

Aparte de correr ejecutables de dudosa procedencia (como descargar programas ilegales, por ejemplo), un método muy popular de Conficker para contagiar, es hacerlo a través de USBs.

 

Desactivar el AutoRun

Dado que esta es una muy popular forma de transmisión de todos los gusanos en general, lo mejor que podemos hacer, es desactivarla.

Picture 5Cada vez que ingresamos un USB en nuestra PC, Windows busca un archivo llamado “autorun.inf” (al igual que en los CDs), con instrucciones para averiguar qué hacer. Este archivo, por supuesto, puede ser creado por el gusano para decirle a Windows que apenas sea introducido, ejecute el gusano.

 

Si bien podemos evitar ejecutar USBs modificando el registro, la manera más simple, es utilizando Panda USB Vaccine. es un programa pequeño creado por Panda Security que simplemente se encarga de hacer los cambios necesarios para deshabilitar el AutoRun en nuestra PC, cuando elegimos "Vaccinate Computer”. Vaccinate USB se encarga de crear un archivo autorun.inf protegido para que no sea leído, creado, borrado o modificado, evitando que nuestro USB sea un portador. Link 

Una vez hecho todo esto, por supuesto, es hora de actualizar nuestro antivirus. O si se decepcionaron porque el que utilizan actualmente nunca encontró Conficker, denle un vistazo a Avira Antivir 9

 

Conclusiones

Picture 8 Como lo dicen los de F-Secure, probablemente sea mucho escándalo por un gusano que no llegue a hacer nada el primero de abril, pero por qué no aprovechar esta advertencia, para eliminar uno de los más populares virus de nuestro sistema?

Quién sabe, si los analistas se equivocan y en efecto la actualización le da al gusano la posibilidad de pensar y  Skynet nace de este ataque, al menos moriremos en manos de los Terminators sabiendo que nosotros no fuimos en parte responsables de este ataque…Así que pásenle las utilidades y herramientas de detección y eliminación a quienes conozcan!

 

Picture 9

Y por cierto, esto sólo tiene que ver con Windows. Si están en cualquier otro sistema operativo, no hay de qué preocuparse (por ahora).

No more articles