lunes, 2 de febrero de 2009

Virus Conficker

El resurgimiento del virus Conficker, que se extendió aprovechando un agujero de seguridad en Windows, violando contraseñas débiles e infectando sistemas a través de memorias USB, demuestra las graves consecuencias que pueden generar los errores en la programación de aplicaciones informáticas.

La aparición del gusano informático Conficker, también conocido como Downadup, que en las últimas semanas infectó millones de computadoras en el mundo aprovechando un error en el sistema operativo Windows, volvió a demostrar que los errores en la programación de aplicaciones tecnológicas pueden generar graves peligroso a la seguridad de las personas y a las organizaciones.
El virus explota la vulnerabilidad de Microsoft que permite a los delincuentes infectar las computadoras de los usuarios.


Desde el 31 de diciembre han aparecido nuevas variantes de este gusano ampliando las posibilidades de infección con nuevas formas de ataque, entre las que se incluye ataques por diccionario a cuentas de dominio en Windows y descargas de más variantes desde sitios web que son elegidos aleatóriamente según la fecha.

Precauciones que debemos Tomar:

* Parchear los sistemas operativos parchee inmediatamente y adoptar políticas de gestión que aseguren que infecciones similares no ocurran en el futuro.

* Utilizar un antivirus con capacidades proactivas. Recordar que ESET NOD32 detecta este malware y sus posteriores variantes desde el primer momento.

* Utilizar un Firewall para bloquear los puertos que pueda utilizar el malware al infectar un equipo en la red.

* Instalar la actualización de seguridad informada en boletín MS08-067 de Microsoft. Si bien las últimas versiones de Conficker también utilizan otras técnicas de propagación, la instalación de esta actualización es crítica y disminuirá el potencial riesgo de infección.

Conficker (o Downadup) se ha transformado en una verdadera epidemia.

en los últimos días, sus creadores han puesto énfasis en multiplicar sus técnicas de infección, ampliándolas a través de recursos compartidos, explotación de claves débiles y a dispositivos de almacenamiento removibles.

Este último caso es el que nos ocupa, ya que las nuevas variantes de Conficker han comenzado a utilizar al técnica de Autorun para maximizar las probabilidades de infección. A continuación vemos un archivo autorun.inf que aparentemente se encuentra dañado o que ha sido “cifrado” de alguna manera para que el mismo no sea válido:

Si se mira con atención, al final puede apreciarse que existen comandos válidos. En realidad, el archivo incluye código basura (una forma común de ofuscamiento). El sistema operativo, al no “comprender” su contenido, simplemente lo ignora y toma en consideración las líneas que es capaz de interpretar. Entonces, en realidad se trata de la ejecución automática del gusano (en este caso el archivo jwgkvsq.vmx, siendo este nombre aleatorio).

La explicación de porqué utilizar la conocida técnica de infección en dispositivos removibles es sencilla: supongamos que una organización protege adecuadamente sus recursos informáticos para evitar las infecciones originales de este gusano (actualización, firewall y antivirus), a través de la explotación de la vulnerabilidad en el protocolo RPC. Si fuera así, el gusano tendría un ciclo de vida corto.

Al incorporar nuevas técnica de infección, sus creadores se aseguran que de alguna manera, el gusano ingrese a las organizaciones protegidas, por métodos alternativos a los explotados originalmente.

Esto es lo que le ha valido a Conficker para ser una de la amenazas de mayor reproducción y que más dolores de cabeza esté trayendo a los usuarios y administradores de red. Como siempre ESET NOD32 detecta Conficker y sus últimas variantes que utilizan Autorun, como puede verse a continuación:



Herramientas de ESET para eliminar Conficker y Mebroot

ESET pone a disposición una serie de herramientas gratuitas para los usuarios de otras soluciones de seguridad contra ciertos malware que causaron altos niveles de infección y que además presentan cierta complejidad para su limpieza total.

Estas herramientas sólo eliminan el malware mencionado y están disponibles para todos los usuarios interesados, aunque además es recomendable la exploración con ESET Online Scanner o la descarga de evaluación de ESET NOD32 o ESET Smart Security, en caso que haya otros malware en el sistema.

* Conficker
También conocido como Downadup o Kido, el gusano Conficker es un malware detectado por primera vez en noviembre del 2008 y que utiliza la vulnerabilidad de Windows reportada y corregida por Microsoft en su boletín MS08-067. Las nuevas variantes de este gusano también se propagan a través de recursos compartidos de la red y a través del archivo autorun.inf de distintos dispositivos de almacenamiento.
Debido a sus altos niveles de infección, ESET creo una herramienta de limpieza para Conficker (MD5: ee12bc304cca8d7da0ea2eeb8366d1bb).

* Mebroot
También conocido como Mbroot, StealthMBR o Sinowal, el rootkit Mebroot es un código malicioso que fue detectado por primera vez durante enero del 2008 y se instala en el sector de arranque del disco rígido (MBR) dificultando la limpieza de dicho malware y permitiendo al rootkit estar activo desde antes del inicio del Sistema Operativo. Mebroot además también descarga otros códigos maliciosos al sistema del usuario.
Debido a su propagación y su complejidad, ESET creo una herramienta de limpieza para Mebroot (MD5: 9625d3da28c78900c23065f6e9273a6f).

No hay comentarios:

Publicar un comentario en la entrada