Que no cunda el pánico con Conficker

Últimamente se ha puesto muy de moda hablar de Conficker y sus variantes. Y mucho más si tenemos en consideración la temida reactivación prevista para mañana 1 de abril. Nos ocupamos de este inquietante tema en el siguiente artículo

Que no cunda el pánico con Conficker

31 marzo 2009

LA OPINIÓN DEL EXPERTO

Hacía tiempo que no veíamos tanta cobertura mediática generada por un ejemplar de malware, y no quiero decir que me desagrade, porque entre todos contribuimos a concienciar a los usuarios a ser cautos.

Pero también es cierto que quizá se le está dando más importancia de la que en realidad tiene. Demos un repaso a las preguntas que nos está haciendo todo el mundo.

En cuanto a la fecha, ¿se activará Conficker el día 1 de abril? La respuesta es: No. No se trata de una activación.

¿Pero va a hacer algo ese día, no es verdad? Sí, Conficker es un programa malicioso que crea URL de manera aleatoria; luego, en los ordenadores infectados comprueba si en alguna de esas URL hay alguna versión nueva de su código y de ser así, la descarga en el equipo. Esto lo hace lo hace a un ritmo de unas 250 diarias.

¿Qué va a pasar el 1 de abril entonces? Ese día, la última variante creará 50.000 nuevas URL. No podemos saber si alguno de ellas alojará una actualización de Conficker. Su autor podría alojar en esas URL incluso otro tipo de malware que no tiene por qué ser una actualización de Conficker.

A tenor de esto, hay que recordar que Conficker verifica la fecha a través de Internet, es decir, que el pequeño truco de cambiar la fecha del ordenador, como algunos han comentado, no sirve en este caso. La extensión de Internet y sus servicios también es útil para los ciberdelincuentes.

¿Si alguna URL contiene una actualización del gusano qué podrá hacer esa nueva variante? Es difícil de determinar. Hasta el punto de que ningún fabricante de soluciones de seguridad ha sido capaz de predecir qué ocurrirá. En todo caso y aunque es cierto que este código malicioso puede recordar a las antiguas epidemias en tanto en cuanto que su autor ha buscado ser reconocido y acaparar titulares, no se trata sólo de un ejemplar para conseguir reconocimiento. El objetivo es otro, aunque no sepamos aún cuál.

Si pensamos en los diferentes modelos de negocio que actualmente hay detrás de los programas maliciosos, es evidente que su autor o autores están buscando algún tipo de beneficio económico. Pero, ¿de qué manera? Puede ser por el alquiler de la red de ordenadores infectados para enviar spam; mediante la instalación en el PC infectado de algún adware del tipo de los falsos antivirus para advertir a los usuarios que su equipo está infectado y engañarlos para comprar un falso antivirus; por la descarga de tipo troyano ladrón de contraseñas... Hay muchos especulaciones, pero nada seguro.

Otra cuestión planteada es si ¿es realmente más peligroso que otro tipo de malware? La respuesta es no, no es más peligroso, a pesar de que el hecho de que se actualice deja una puerta abierta a nuevos ataques, que podrían ser, estos sí, más peligrosos.

En realidad, el éxito de Conficker radica en haber explotado una reciente vulnerabilidad de Microsoft para distribuirse, y por eso, ha llegado a muchos ordenadores. En esto, su autor ha sido inteligente y ha tomado la modelo de los virus clásicos. Otro "inteligente" método utilizado por su autor ha sido el de utilizar diferentes medios de infección, especialmente a través de llaves USB, reproductores MP3, etc. Además, versión a versión ha hecho más difícil su detección ofuscando el código. Y aunque no podemos hablar de un virus polimórfico, si es cierto que sigue esta dirección.

Precisamente, en lo que más destaca Conficker es en la forma de propagarse por dispositivos USB, como comentábamos anteriormente. Se trata de un intento de alcanzar al máximo número posible de usuarios. También destaca por la capacidad que tienen los PC infectados en comunicarse entre sí para actualizarse sin necesidad de que todos se bajen una nueva versión desde una URL, utilizando tecnología P2P. De nuevo, una tecnología muy difundida entre los usuarios que también es aprovechada por los ciberdelincuentes.

En cualquier caso, el nivel de infecciones de las últimas semanas ha ido bajando a niveles muy bajos. Probablemente todavía hay PC infectados por el malware, pero no en los niveles que veíamos hace meses. Ante esta situación, su autor puede tomar varios caminos:

  • a) crear una nueva variante que utilice alguna otra vulnerabilidad 0 day para propagarse, y mantener así la era Conficker

  • b) continuar manteniendo vivas las tres variantes que están distribuyéndose, viendo cómo su negocio se va, día a día, a pique

  • c) aburrirse y dedicarse a otra cosa…

Nosotros apostamos por la opción a). No necesariamente para abril, sino próximamente. No creemos que su autor haya hecho tanto esfuerzo para luego tirarlo a la basura sin tener ningún beneficio. No se rendirá tan fácilmente.

Por lo tanto, que no cunda el pánico. ¿Qué deben hacer los usuarios el 1 de abril? Si tienen su PC protegido por un buen antivirus actualizado, nada. Si no lo tienen, les recomendamos que se instalen uno (no es necesario esperar al 1 de Abril…) y pueden utilizar Panda ActiveScan para estar seguros de que no están infectados. Y también recomendamos que se instalen la herramienta gratuita que hemos creado para evitar su difusión por llaves USB (http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/).

Para información adicional puede consultar este post del blog de PandaLabs: http://pandalabs.pandasecurity.com/archive/Don_1920_t-get-taken-in-by-the-Conficker-panic.aspx

Por Luis Corrons, director Técnico de PandaLabs

Temas Relacionados
Loading...