Recientemente hemos visto varios reportajes sobre cómo el worm Conficker hará grandes daños el 1º de abril. El worm Conficker, formalmente denominado W32/Conficker.worm, empezó a infectar los sistemas el fin del año pasado, explotando una vulnerabilidad del Microsoft Windows. Desde entonces, hemos visto algunas variantes de ese worm y muchos binarios que transportan esa carga malintencionada. Conficker.C es la variante más reciente; altera el comportamiento de su “protocolo call-home” el miércoles, 1º de abril. Conficker puede usar ese protocolo para actualizarse e incluir algunas funciones todavía desconocidas. McAfee ya ofrece protección contra ese worm en sus productos para terminales y redes. Microsoft también lanzó una actualización de seguridad para corregir la vulnerabilidad usada por la familia Conficker para propagarse.

La información dada a continuación presenta un panorama del worm, las medidas que se pueden tomar para limpiar un sistema infectado y medidas para evitar la reinfección.

El worm W32/Conficker explota la vulnerabilidad MS08-067 de Microsoft Windows Server Service. Si se explota exitosamente esa vulnerabilidad, puede permitirse la ejecución remota de programas cuando se active el reparto de archivos. Las máquinas deben recibir los parches y ser reiniciadas para evitar que el worm reinfecte el sistema tras la limpieza, y eso puede exigir más de un reinicio.

Cuando detecte ese worm, reinicie el sistema para limpiar correctamente la memoria. Puede ser necesario reiniciar el sistema más de una vez.

A menudo, el worm crea tareas programadas para reactivarse a sí mismo.

El worm utiliza frecuentemente archivos autorun.inf para reactivarse.

Hemos identificado miles de binarios que transportan esa carga activa. Dependiendo de la variante, el worm puede diseminarse a través de LAN, WAN, la Web o de drives removibles y a través de la explotación de contraseñas de baja seguridad. Conficker desactiva varios servicios y productos de seguridad importantes del sistema y descarga archivos arbitrarios. Los computadores infectados con el worm se convierten en miembros de un ejército de equipos infectados que se pueden usar para lanzar ataques a sitios, distribuir spam, hospedar sitios de phishing o realizar otras actividades malintencionadas.

Conficker.C es la variante más reciente de este worm y depende de sus antecesores, las variantes .A y .B. La exposición a la variante .C se limita a los sistemas que aún están infectados por las variantes anteriores.

Bloquea el acceso a sitios de seguridad

Impide el acceso del usuario al directorio

Envía tráfico a través del puerto 445 en servidores que no utilicen Directory Service (DS)

Niega el acceso a repartos administrativos

Pone los archivos autorun.inf en el directorio de la papelera