Muchos se alarmaron el 1ero de Abril, aunque hizo poco o nada, este pequeño bizarro sigue atemorizando a los usuarios de la red. Pero hay más temor aún, ahora nos viene con una actualización. ¿Que tal raza?
Conficker fue observado minuciosamente después del 1ero de Abril para ver cualquier tipo de alteración. No hizo nada interesante excepto el continuo control de días y horas de los sitios de Internet, también controlando actualizaciones vía http y el incremento de comunicaciones de P2P desde los pares de nodos de Conficker.
Fue así hasta que se logró ver un archivo (119296 bytes) en la carpeta Temp de Windows. El archivo se creó el 7 de Abril de 2009 a las 07:41:21 según las Propiedas del archivo.
Viendo también la captura del tráfico se muestra que no hubo descargas por Http desde 07:40:00 hasta 07:42:00, sin embargo se observó una gran reacción cifrada TCP (134880 bytes) de un conocido nodo de Conficker a través de la red P2P(Esto fue verficado por otras fuentes independientes) que fue descargado de algún lugar de Kore.
El tamaño de este paquete encriptado casi coincide con los binarios que se creó en la carpeta Temp. Y lo mejor de hoy es que hay algunos bytes adicionales, que podrían ser las claves para ver hasta que tipo de técnicas aplicó en el responsable de Conficker / Downadup.
Trend Micro ahora detecta esta nueva variante Conficker como WORM_DOWNAD.E,esta nueva versión «E» (se considera versión «D» a la que se activó el primero de abril sin consecuencias mayores) Algunas cosas interesantes que se encuentran son:
- Hay instrucciones en su código que indicarían un cese en su actividad exactamente el 3 de mayo, interrumpiendo tanto la descarga de datos como su propagación.
- Se ejecuta utilizando un nombre de archivo al azar y al azar el nombre del servicio.
- Elimina sus componentes descargados luego de haberse ejecutado.
- Por un lado, ha vuelto a su viejo hábito de atacar la vulnerabilidad MS08-067 si las direcciones IP de Internet está disponible, si no hay conexiones, utiliza direcciones IP local.
- Abre el puerto 5114, y sirve como un servidor HTTP a través de una solicitud de radiodifusión vía SSDP (crea una pseudo-red P2P en la que puede buscar sistemas infectados a través de UDP, para luego transferir contenido por TCP).
- Se conecta a los siguientes sitios, como una forma de detectar si tiene conexión a Internet:
- Myspace.com
- msn.com
- ebay.com
- cnn.com
- aol.com
Asimismo, no deja una huella de sí mismo en la máquina. Se ejecutan y se eliminan todos los rastros, no hay archivos, no hay registros etc
Otra cosa interesante que también se observó que Conficker / Downadup está tratando de acceder a un dominio conocido Waledac (goodnewsdigital (punto) com) y descargar otro archivo encriptado. Esta coincidencia ocurrió justo después de la creación de los nuevos códigos binarios de la variante descrito abajo(07:41:23):
El dominio actualmente responde con una dirección IP que tiene alojada al conocido Waledac. Por cuestiones de simple deducción, las autoridades están considerando que los responsables detrás de Waledac tal vez tengan algo que ver con el Conficker, ya sea con la creación del gusano o con alguna clase de asociación ilícita.en HTML para descargar print.exe, que se ha comprobado ser un nuevo Waledac binario.
Como hemos visto y como se describe más arriba – que el Downad / Conficker ha despertado, y tal vez su deseo de dinero, sus esfuerzos se está volviendo más claros. En adición a Waledac, el gusano instala un supuesto programa limpiador de spyware llamado «SpyProtect 2009», que notifica que puede detectar y remover a Conficker (junto con decenas de mensajes de alerta), pero a cambio de la asequible suma de €38. No se sabe cuantas personas caerán en este engaño, pero ahora ya se sabe que las intenciones son más tangibles:
Por ahora, sólo hay que esperar que sucede hasta 3 de Mayo. Pero algo estoy seguro, que después de todo esto, pocas dudas quedarán sobre considerar al Conficker como el ataque más elaborado en la historia de la informática.
Amigos lectores, les recuerdo que el gusano Conficker sólo ataca el sistema operativo Microsoft Windows según Wikipedia. Y Explota vulnerabilidades en:
- Windows Server usado por Windows 2000
- Windows XP.
- Windows Vista.
- Windows Server 2003.
- Windows Server 2008.
- Y el beta de Windows 7.
Enlaces:
*CNET