Conficker

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 15 de junio de 2014; las comprobaciones requieren 40 ediciones .
Conficker
Nombre completo (Kaspersky) Net-Worm.Win32.Kido.bt
Tipo de gusano de red , botnet
Año de aparición 2008
Software utilizado vulnerabilidad en la actualización crítica MS08-067
Descripción de Symantec
 Archivos multimedia en Wikimedia Commons

Conficker (también conocido como Downup , Downadup y Kido ) es un gusano informático cuya epidemia comenzó el 21 de noviembre de 2008 . El malware se escribió en Microsoft Visual C++ y apareció por primera vez en línea el 21 de noviembre de 2008 . También conocido como Downadup que creó la infraestructura para la botnet [1] . Infectaba sistemas operativos de la familia Microsoft Windows ( Windows XP y Windows Server 2008 R2 ). A partir de enero de 2009 , el gusano infectó 12 millones de computadoras en todo el mundo. El 12 de febrero de 2009, Microsoft prometió 250.000 dólares por información sobre los creadores del gusano [2] .

La epidemia se hizo posible debido a que una parte importante de los usuarios estuvo expuesta a vulnerabilidades previamente eliminadas por las actualizaciones críticas MS08-067.

Título

El nombre "Conficker" proviene del inglés.  configuración (config) (configuración) y it.  ficker (participante grosero en las relaciones sexuales , cf. inglés  fucker ). Por lo tanto, Conficker es un "violador de la configuración".

Principios de funcionamiento

Esta rápida propagación del gusano se debe al servicio de red. Usando una vulnerabilidad en él, el gusano se descargó de Internet . Curiosamente, los desarrolladores del gusano aprendieron a cambiar constantemente sus servidores , lo que antes no era posible para los atacantes .

Además, el gusano podría propagarse a través de unidades USB , creando un archivo ejecutable autorun.inf y un archivo RECYCLED\{SID}\RANDOM_NAME.vmx. En el sistema infectado, el gusano se registraba en los servicios y se almacenaba como un archivo dll con un nombre aleatorio formado por letras latinas, por ejemplo:

C:\Windows\System32\zorizr.dll

Una vez que Conficker infectaba una computadora, deshabilitaba muchas funciones de seguridad y configuraciones de copia de seguridad automática, eliminaba puntos de restauración y abría conexiones para recibir instrucciones de la computadora remota. Después de configurar la primera computadora, Conficker la usó para obtener acceso al resto de la red [1] .

El gusano aprovechó las vulnerabilidades de desbordamiento de búfer en los sistemas operativos de la familia Windows y ejecutó un código malicioso utilizando una solicitud RPC suplantada . En primer lugar, desactivó una serie de servicios: actualizaciones automáticas de Windows, Centro de seguridad de Windows , Windows Defender e Informe de errores de Windows , y también bloqueó el acceso a los sitios de varios fabricantes de antivirus.

Periódicamente, el gusano generaba aleatoriamente una lista de sitios web (alrededor de 50.000 nombres de dominio por día) a los que accedía para obtener un código ejecutable. Al recibir un archivo ejecutable del sitio, el gusano verificaba su firma y, si era válida, ejecutaba el archivo.

Además, el gusano utilizaba un mecanismo de intercambio de actualizaciones P2P , lo que le permitía enviar actualizaciones a copias remotas sin pasar por el servidor de control.

Síntomas de infección

  1. Servicios deshabilitados y/o no habilitados:
    • Servicio de actualización de Windows
    • Servicio de Transferencia Inteligente de Fondo
    • Defensor de Windows
    • Servicios de informes de errores de Windows
  2. Bloquear el acceso de la computadora a los sitios web de los fabricantes de antivirus
  3. Si hay equipos infectados en la red local, el volumen de tráfico de la red aumenta, ya que desde estos equipos se inicia un ataque a la red .
  4. Las aplicaciones antivirus con un firewall activo informan de un ataque de Intrusion.Win.NETAPI.buffer-overflow.exploit.
  5. La computadora comienza a responder muy lentamente a las acciones del usuario, mientras que el Administrador de tareas informa del 100 % del uso de la CPU por parte del proceso svchost.exe .
  6. El servicio IPSec está siendo bloqueado. Como resultado, la interrupción de la red.

Lucha contra gusanos

Corporaciones como Microsoft , Symantec , Dr.Web , ESET , Kaspersky Lab , Panda Security , F-Secure , AOL y otras participaron en la prevención de la infección por gusanos y su destrucción desde las computadoras infectadas. Sin embargo, el peligro persiste hasta el día de hoy.

Además, cada usuario debe saber que si la computadora ya está infectada con un gusano, una simple actualización del sistema no lo ayudará, ya que solo cerrará la vulnerabilidad a través de la cual ingresó al sistema. Por eso se recomienda utilizar utilidades especiales de las últimas versiones para eliminar completamente el gusano.

Daños

Según McAfee , el daño causado por el gusano a la comunidad en línea se estima en $9.1 mil millones, solo superado por los daños causados ​​por gusanos de correo como MyDoom ($38 mil millones) e ILOVEYOU ($15 mil millones) [3] .

Véase también

Notas

  1. ↑ 1 2 ¿Qué es Conficker? - Definición de WhatIs.com  (inglés) . QuéEs.com . Consultado: 7 de septiembre de 2022.
  2. Gusano Conficker: ayuda a proteger Windows de Conficker Archivado el 18 de mayo de 2018 en Wayback Machine , 10 de abril de 2009 
  3. McAfee , A Good Decade for Cybercrime Archivado el 5 de junio de 2013. , (pdf), (esp).

Enlaces

 botnets