Conficker, uno de los “gusanos” más peligrosos y virulentos en activo

La misión de Conficker hasta ahora ha sido la de crear un “ejército” a escala mundial de equipos capaces de comunicar, actualizarse y recibir órdenes,  además de neutralizar cualquier sistema de defensa

 Analizando la evolución en las infecciones por Conficker, se deduce que el fin de esta amenaza no está tan cerca como podría pensarse

Conficker (también conocido como Downadup o Kido) no ha sido la amenaza electrónica más “inteligente” ni la más peligrosa de las que hayan existido hasta ahora. Pero sí uno de los tipos de malware mejor diseñados para causar el mayor daño potencial con una compleja y efectiva capacidad de actualización.

 Desde finales de octubre de 2008, rumores y datos científicos de todo tipo han convivido en el imaginario popular. Se ha llegado incluso a escuchar, aprovechando el día de los inocentes, que había llegado el fin del mundo de Internet tal y como lo conocíamos hasta ahora.

 Realmente, ¿qué daño puede causarnos Conficker

La verdad es que el gusano en sí no produce ningún daño. Por lo que sabemos hasta ahora, ninguna de las cinco variantes existentes del gusano ha corrompido archivos o robado datos hasta este momento. Sin embargo, hay que estar siempre alerta, pues al amparo de la ingeniería utilizada por los creadores de malware se han creado herederos ilustres como los conocidos Welchia, Blaster, Sobig, Sasser y Storm.

En primer lugar, hay que aclarar que el propósito del gusano Conficker es difundirse y poner en peligro tantas máquinas como sea posible. Para ello, justo ahora hace un año, se utilizó una vulnerabilidad en el Servicio RPC de Microsoft ® Windows ® Server, descrita en el Boletín de Seguridad MS08-067 de Microsoft. Esto permitió al atacante remoto ejecutar código en una máquina sin protección. A principios de 2009 se confirmó el éxito en la propagación de Conficker - a finales del primer trimestre de este año, el número total de equipos comprometidos en todo el mundo casi igualaba en número a la población de países como Holanda o Bélgica. Las variantes B y C del gusano incluyeron a su vez en su mecanismo de propagación la explotación de la función de ejecución automática en unidades y soportes extraíbles (como los dispositivos USB de almacenamiento portátil), y la posibilidad de acceder por la fuerza a redes insuficientemente protegidas (por ejemplo, a aquellas con las contraseñas más inseguras).

La segunda misión de Conficker es establecer, implementar y mantener un sistema viable de comunicación sigiloso entre las máquinas comprometidas con fines de actualización y ejecución de comandos. El mecanismo de comunicación ha sufrido un desarrollo más elaborado de una variante a otra, siendo el causante de los rumores sobre el “Apocalipsis de Internet”. Las primeras tres versiones de Conficker estaban conectadas a un número determinado de dominios - alrededor de 250 – con fines de actualización. Las mejoras introducidas en las últimas dos variantes han generado a su vez 50.000 dominios. Conficker C y D son capaces de seleccionar 500 URL y comprobar aleatoriamente actualizaciones.

El tercer objetivo de Conficker es paralizar los sistemas de defensa. Desde su segunda variante, el gusano comenzó a desactivar Windows Update y bloquear el acceso a la mayoría de páginas web de los fabricantes Antivirus. Con ello se intentan detener las actualizaciones automáticas o manuales en las suites o soluciones de seguridad instaladas. Además, cualquier intento de conectar con los proveedores o sitios Web de terceros para obtener herramientas de desinfección serían inútiles, al ser actualizada casi instantáneamente la lista de URLs a bloquear.

En resumen, la misión de Conficker hasta ahora ha sido la de crear un ejército a escala mundial de equipos capaces de comunicar, actualizar y recibir órdenes,  además de neutralizar cualquier sistema de defensa.

¿Se ha conseguido terminar con la amenaza?

No; y eso que Microsoft ofreció una recompensa de 250.000 dólares para identificar a los creadores del gusano. Si observamos, a continuación, la evolución trimestral de los países más infectados por Conficker, deducimos que lamentablemente el fin de esta amenaza no está tan cerca como podría pensarse:

Lista de países más infectados – 1er cuatrimestre de 2009

 
Tailandia
8.35 %
China
8.20 %
India
7.85 %
Malasia
7.56 %
Vietnam
6.70 %
Indonesia
6.03 %
Filipinas
4.53 %
Australia
2.94 %
Francia
2.42 %
Italia
2.17 %
Otros países
43.26 %

Lista de países más infectados – 2º cuatrimestre de 2009

 
China
14.59 %
Vietnam
9.44 %
Rumania
7.48 %
India
6.72 %
Indonesia
5.78 %
Malasia
5.66 %
Tailandia
5.57 %
Australia
3.49 %
Filipinas
2.74 %
México
2.58 %
Otros Países
35.94 %
 

Lista de países más infectados – 3er Cuatrimestre de 2009

 
China
12.76 %
India
8.00 %
Vietnam
7.41 %
Tailandia
6.65 %
Rumania
6.13 %
Malasia
5.45 %
Indonesia
4.88 %
Australia
3.98 %
México
2.72 %
Colombia
2.71 %
Otros Países
39.32 %

Lista de países más infectados – global 1er al 3er Cuatrimestre de 2009

 
China
12.96 %
Rumania
8.02 %
Vietnam
7.75 %
India
7.48 %
Tailandia
6.30 %
Malasia
5.64 %
Indonesia
5.05 %
Australia
3.63 %
Filipinas
2.91 %
Méjico
2.49 %
Otros Países
37.76 %
 

¿Qué podemos esperar en un futuro?

Conficker actúa como cualquier “botnet”. Botnet es un término derivado de una red de robots. Un botnet puede ser entendido como una colección de robots de software malintencionado (abreviatura de bots), cuya finalidad es la de ejecutar diferentes tipos de aplicaciones en el equipo controlado por el propietario o la difusión de la fuente del robot, en un grupo de equipos comprometidos, normalmente conectados a Internet.

Desde este punto de vista, las previsiones no son muy positivas, como veremos a continuación en los diferentes puntos:

Corrupción del sistema defensivo

El aspecto más peligroso relacionado con una infección Conficker es que neutraliza por completo los sistemas de defensa. En otras palabras, cualquier máquina infectada tendrá un fallo de seguridad que puede ser explotado en cualquier momento. Es como tener una casa con la puerta abierta todo el tiempo, incluso para dormir, cuando vas al trabajo o de vacaciones.

Denegación de servicio de distribución

Un botnet puede ser utilizado como herramienta para paralizar por completo otros equipos en Internet a través de lo que se conoce como ataque Distribuido de Denegación de Servicio (DDoS). Los ataques botnet en una red o en un sistema informático interrumpen el servicio a través de la pérdida de conectividad o el consumo de ancho de banda de la red y la sobrecarga de los recursos del sistema informático de la víctima. Esto puede impedir el acceso a un sitio web en particular durante un período largo de tiempo, que, en el caso de las empresas que operan en web (aunque no únicamente) podría conducir a un aislamiento total.

Abusos y Fraudes mediante Sistemas de Pago por Click (Pay-per-Click)

Los botnets pueden ser utilizados para que un usuario visite una página web y sin que él decida se acceda automáticamente a los banners de publicidad que contiene. El objetivo es obtener beneficios económicos mediante la automatización de la visita y acceso a un sistema pay-per-view o pay-per-click (para engañar a las empresas de publicidad online que pagan por cada visita o clic que se realice en esa página, como Gooogle Adsense).

Claves de registro, monitorización del tráfico y robos de identidad masivos

Muchos bots pueden detectar la actividad del teclado e informar sobre las pulsaciones que el usuario realice sobre él. Algunos bots tienen la capacidad de ver las visitas a determinados sitios web donde se introducen contraseñas o información de cuentas bancarias. Con un programa de filtro, el bot puede extraer la secuencia de teclado escrito antes o después de palabras como "PayPal" o "Tarjeta de Crédito". Esto permite que los delincuentes cibernéticos puedan acceder a información personal y cuentas de miles de personas.

Spamming

Se puede dirigir un botnet con el objetivo de recolectar direcciones de correo electrónico y/o enviar/remitir gran cantidad de mensajes a otros ordenadores. Este fue el caso de un envío masivo de spam  que se realizó a finales de 2007, abogando por la candidatura de Ron Paul en las elecciones presidenciales de EE.UU en 2008.

Una llamada de atención

La evolución de las infecciones de Conficker revela al menos tres aspectos preocupantes, tanto para la industria de la seguridad como para los usuarios de Internet:

Los creadores de malware no descansan. La creatividad y habilidad utilizadas a la hora de crear las cinco cepas de Conficker evidencian que los creadores de malware están intentando siempre innovar  cuando se trata de obtener beneficios.

La alta tasa de infecciones también nos dice que el nivel de concienciación sigue siendo responsabilidad de los usuarios. No sólo deben actualizar su sistema operativo constantemente con los últimos parches de seguridad, sino que deben seguir unas normas básicas de seguridad a la hora de utilizar medios extraíbles como el análisis de los mismos mediante una suite de seguridad, independientemente de que se piense que provienen de fuentes fiables.

Por último, nos demuestra que muchos usuarios no saben que existen herramientas de eliminación disponibles que se pueden emplear para desinfectar sus sistemas antes de que el mal llegue a mayores.

Es más fácil prevenir que curar. Aquí hay algunas sencillas reglas de oro para recordar a la hora de mantener seguro tanto el sistema como los datos:

¿Cómo nos podemos proteger?

 

Las siguientes cinco reglas deberían ser suficientes para evitar amenazas futuras:

  1. Actualizar regularmente el sistema operativo: descargar e instalar las últimas actualizaciones de seguridad, herramientas de eliminación de malware, así como otros parches o correcciones.
  2.  Instalar y activar una contraseña fiable para proteger la solución antimalware, cortafuego, filtro de spam y control parental.
  3. Actualizar el software antimalware, cortafuego y filtro de spam tan habitualmente como sea posible, con las últimas firmas de virus y aplicaciones.
  4. Analizar el sistema con la solución de seguridad frecuentemente.
  5. Mantenerse informado acerca de las últimas amenazas electrónicas y cuestiones de seguridad.
Si el sistema ya ha sido infectado es importante acceder a la dirección web http://www.bdtools.net/, y descargar la herramienta de eliminación de la amenaza Downadup (Conficker). Lo ideal sería que, una vez eliminado el Conficker o Downadup de la máquina, se actualizara el sistema operativo con las últimas actualizaciones, y se instalara y activara una suite antimalware.
 
Top