Sólo tres virus causan la mayoría de infecciones de malware en España

Conficker, INF/ Autorun y PSW.OnLineGames han sido los tres códigos maliciosos responsables de la mayoría de amenazas informáticas en España durante el pasado mes.

Según los datos de la empresa de seguridad informática ESET, hay tres virus que han sido responsables de la gran mayoría de ataques informáticos durante el pasado mes de octubre.

El código malicioso más detectado y causante del 10,5% de las infecciones de equipos ha sido INF/ Autorun. Este virus se carga al inicio del sistema y se ejecuta cada vez que el usuario accede a unidades de disco o conecta unidades de memoria extraíbles por USB, teléfonos móviles, cámaras digitales, etc.

El segundo del ranking es Win32/PSW.OnLineGames, un troyano que roba información relacionada con juegos online y que suele ser descargado de webs maliciosas o instalado por otras formas de malware. Este código ha causado el 9,23% de todas las infecciones y al ejecutarse también descarga determinados ficheros de diferentes sitios de Internet y se conecta a otros para enviar la información robada.

Por último, el Conficker sigue actuando un año después de extenderse por la Red, responsable del 8,6% de todos los ataques. Según la compañía, está diseñado para explotar una vulnerabilidad de Windows que Microsoft ya ha solucionado, permitiendo a un atacante ejecutar un código en forma remota sin las credenciales de usuario válido. Mediante esta técnica, los hackers pueden tomar control total del equipo.

“La similitud en prevalencia entre códigos como Autorun o Conficker nos lleva a pensar que comparten, en cierta medida, métodos de infección similares. Además de transmitirse mediante redes, Conficker también puede distribuirse por medio de memorias flash USB”, ha dicho Fernando de la Cuadra, director de Educación de Ontinet.com, distribuidor de ESET en España.

fuente: itespresso.es

El uso masivo de USB y los malos hábitos de los usuarios impiden acabar con plagas como Conficker

Según el informe mundial de amenazas realizado por ESET, el uso masivo de los puertos USB y la negligencia de los usuarios a la hora de adoptar medidas básicas de seguridad sirven como principal fuente de difusión de las amenazas y dificultan la exterminación de las plagas más importantes que atentan contra la seguridad de los sistemas TI.
Estos factores han hecho, por ejemplo, que virus como Conficker o Autorun permanezcan tras meses de ser descubiertos como los más difundidos en todo el mundo e incluso hayan llegado a aumentar su presencia en algunos países, como Italia y Gran Bretaña, de acuerdo con las conclusiones del informe del proveedor de software de seguridad ESET.

La investigación de esta compañía, basada en su sistema estadístico de evaluación de amenazas ThreatSense, identifica el gusano Win32/Conficker como la forma de malware más difundida durante el mes de julio, representando un 10,48% de las infecciones provocadas en los equipos informáticos de todo el mundo. En segundo lugar, ESET sitúa a INF/Autorun, con un 8,29% de las infecciones detectadas por su sistema, y, después a Win32/PSW.OnlineGame, con un 7,92% de ellas.

Feranando de la Cuadra, director de Educación de Ontinet.com, distribuidor de ESET en España, “los usuarios siguen sin ser conscientes de los peligros que entraña compartir dispositivos y conectarlos a distintos equipos sin las medidas de seguridad básicas”. En este sentido, De la Cuadra recomienda no pasar por alto algunas medidas básicas de seguridad, como “actualizar los sistemas operativos, disponer de programas antivirus instalados y actualizados, y revisar los dispositivos de memoria que conectamos a los equipos, así como las descargas de archivos que realizamos, tanto de Internet como de los propios sistemas conectados”.

Las conclusiones del informe de ESET no implican grandes diferencias de nuestro país respecto al resto de los de su entorno, aunque en el caso de España, la presencia de Conficker es ligeramente superior a la media mundial, alcanzando un 13,56%.

fuente: csospain.es

¿Conficker.E se autodestruirá el 5 de mayo?

F-Secure, Trend Micro y SecureWorks se encuentran entre los que creen que Conficker.E surgió por primera vez en abril y que fue creado, muy probablemente, por los mismos atacantes que el pasado otoño lanzaron Conficker.A. Según ellos, Conficker.E ha sido diseñado para, simplemente, autodestruirse el 5 de mayo.

“Simplemente se autodestruirá”, ha declarado Mikko Hypponen, responsable de investigación en F-Secure, quien también destaca que los investigadores, que han estado discutiendo sobre los nombres de las variantes del gusano, sí han estado de acuerdo en pasar de largo el nombre Conficker.D para establecer el de Conficker.E. Pero incluso si Conficker.E simplemente se autodestruyera tal y como se espera, seguiría dejando millones de equipos basados en Windows infectados por todo el mundo con Conficker.C, que ha estado activo este mes. En este tiempo, ha intentado engañar a sus víctimas dirigiéndolas a páginas falsas de antivirus, para que pagaran 50 dólares y conseguir una solución para eliminar Conficker.C.

“Estamos empezando a ver cierta generación de beneficios” con esta técnica, ha declarado Philip Porras, director de programación en el laboratorio de ciencias de SRI International, en una presentación que ha realizado en la Conferencia RSA. “Estamos empezando a ver algunos modelos de negocio que sacan beneficio de ello”.

Investigadores de seguridad de la industria y del gobierno están utilizando diferentes medios para monitorizar el comportamiento de Conficker.C, que actualmente ya bloquea más de 114 sitios antivirus legítimos y trabaja junto con la red bot Waledec. Porras cree que Conficker.C está implicado en un elaborado proceso de venta de software antimalware falso. Cuando entra en las máquinas infectadas, puede dirigir a sus víctimas hacia páginas Web en las que se vende software fraudulento.

Uno de estos sitios parece estar registrado en Ucrania y vende el catálogo de SpywareProtect, asociado con el “Ukraine Bastion Trade Group”. Pero lo que no está claro es que Conficker ha sido creado por ese grupo y los investigadores siguen sin saber quién originó y controla el complejo sistema de control de Conficker.

A pesar de los esfuerzos del Conficker Working Group, un grupo que ahora cuenta con 300 expertos de la industria y del gobierno totalmente dedicados a intentar identificar la fuente de Conficker y pararlo, aún no ha dado fruto alguno.

Porras destaca que, la complejidad de Conficker sugiere que detrás pueda haber una banda organizada que comparta experiencia y conocimiento, más que una persona individual.

Los investigadores han encontrado aspectos extraños en el gusano, tales como la probable autodestrucción de la variante Conficker.E. Pero lo cierto es que Conficker.E, que apareció a mediados de abril, nunca ha sido tan efectivo como otras variantes, lo que ha sido una sorpresa para los investigadores, puesto que el camino recorrido hasta ahora ha sido bastante impresionante en el aspecto técnico.

“Algunas de las funcionalidades en .E no funcionan”, explica Stewart. Conficker.E puede ser un nuevo intento antimalware que simplemente no ha sido lo suficientemente bueno, o quizá haya sido una distracción deliberada por los atacantes para arrojar algo de confusión entre los investigadores. “Deben estar trabajando en una versión más avanza”.

Sin embargo, nadie, aparte de los creadores de Conficker, parece saber qué pasará a continuación. Aún así, los investigadores tienen cada vez más claro que persigue fines económicos.

fuente: idg.es

Conficker Working Group

Durante nuestra constante búsqueda de información para mantenerlos actualizados con lo ultimo referente a vulnerabilidades, malware y noticias tecnológicas hemos encontrado un grupo que se dedica explícitamente a trabajar directamente con el gusano Conficker que tanto daño ha causado a nivel mundial y que según los analistas y expertos todavía estara dando mucha guerra. Dicho grupo se hace llamar “Conficker Working Group” y entre otras cosas en su web hablan de la forma en que el gusano trabaja, como infecta a los usuarios, sitios maliciosos donde nos podríamos contagiar e inclusive herramientas para desinfectarnos.

Les aconsejamos nuevamente que la manera mas fácil para evitar infectarnos con este gusano, es mantener los sistemas Antivirus con las ultimas actualizaciones  (que generalmente todos los días salen nuevas firmas), contar con los ultimos parches para nuestros sistemas operativo (en mas del 85% de los casos sistemas Windows)  ademas de ser cuidadoso en recibir correos de personas no conocidas con ficheros adjuntos posiblemente peligrosos.

Aquí les dejo el link Conficker working group

by komz

Microsoft presenta sus herramientas para eliminar el Conficker

Desde el blog de seguridad y privacidad de Microsoft han publicado una aclaración sobre la información que circula por Internet sobre la posible infección masiva del pasado 1 de Abril, así como los detalles de la variante D del Conficker.
( VER Articulos relacionados Ha pasado el 1ero de abril y el Conficker se mantiene oculto…de momento // Herramientas contra Downadup/Conficker)

Además han publicado consejos y herramientas para evitar ser infectado y eliminar dicho gusano.

Las recomendaciones para prevenir ser infectados dadas por Microsoft son:

1. Busca e instala las actualizaciones de software, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
2. Activa el firewall.
3. Instala y mantén actualizados los programas antivirus y antispyware para estar mejor protegido contra el software malicioso e   indeseable.
4. Se precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.

Además de los consejos, Microsoft también ha proporcionado algunas herramientas para combatir el gusano:

• Herramienta de eliminación de Software Malintencionado.
• Windows Live One Care.
• Productos Forefront.
• Examen de Seguridad gratuito de Windows Live.

Se recomienda seguir los consejos dados por Microsoft.

REFERENCIA Conficker.D, blog de Luismi de seguridad y privacidad de Microsoft .

fuente: websecurity.es

Herramientas contra Downadup/Conficker

En las siguientes líneas podrá encontrar y localizar los antídotos que, de manera gratuita, ofrecen diversos fabricantes de seguridad para luchar contra el gusano Downadup/Conficker.

Son varios los fabricantes que en estos momentos tienen a disposición de los usuarios diferentes antídotos contra el último de los grandes virus que está circulando por Internet. Empezando por orden alfabético, la primera herramienta es la que propone BitDefender.

Pero no es la única. Así, desde Rusia Kaspersky también tiene habilitada en su página web una herramienta para que los usuarios puedan protegerse de este gusano Downadup.

Algo que también se puede hacer con la herramienta de McAfee, quien también pone a disposición de todos los navegantes su solución.

Panda, por su parte, propone dos tipos de herramientas. Así, y además de la utilidad que se puede descargar desde su web, la compañía también propone una herramienta específica para evitar que el usuario se vea afectado por este virus a través de dispositivos USB.

También es gratuita la herramienta que han habilitado desde la compañía Symantec.

Mientras, desde Trend Micro proponen HouseCall, una solución también preparada para detectar y eliminar este gusano.

Por último, pero no por ello menos importante, también es recomendable llevar a cabo la Actualización Windows que la propia Microsoft lleva recomendando desde que se descubriera este gusano.

fuente: idg.es

Ha pasado el 1 de abril y el “Conficker” se mantiene oculto…de momento.

La temida fecha en que la nueva versión del virus Conficker empezaría a activarse en millones de ordenadores llegó por fin y pasó sin que se registraran daños, pero los expertos recomiendan no bajar la guardia en los próximos días.

La última generación del gusano, conocida también como “Conficker.C”, “Downandup” o “Kido” y que ya ha infectado a millones de computadoras en todo el mundo, estaba programada para conectarse ayer a los  ordenadores con los servidores de los creadores del virus. Los expertos en seguridad informática explicaron que Conficker ha comenzado a hacer precisamente eso, pero no se ha registrado una mayor actividad por parte del virus ni se han producido delitos informáticos.

La discreción de Conficker no ha sorprendido a nadie, teniendo en cuenta que la fecha se conocía y que empresas, Gobiernos y usuarios habían reforzado especialmente la seguridad de sus sistemas.

Incluso la Oficina Federal de Investigación (FBI) de EE.UU. lanzó ayer una advertencia sobre el gusano y aseguró estar trabajando “con el Gobierno, las agencias de inteligencias y el sector privado para mitigar la amenaza”. “Todo el mundo que lucha contra el virus estaraá  en máxima alerta”, dijo Joris Evers, analista de la firma de antivirus McAfee, a la prensa de EE.UU. para explicar por qué los responsables del gusano podrían esperar para actuar.

Los analistas no tienen muy claro qué podría ocurrir en las próximas jornadas y sugieren no bajar la guardia. “Puede ser mañana, la próxima semana o el próximo mes”, dijo Roger Thompson, responsable de investigación de la compañía de antivirus AVG, quien afirmó que nunca pensó que el gusano fuera a empezar a operar el 1 de abril.

Esta fecha coincide, además, con la celebración del Día de los Inocentes en los países anglosajones, lo que en principio aumentó el temor de los especialistas a que se produjera el caos.

Conficker tiene la capacidad de crear lo que se conoce como redes de “zombies” o “esclavos”, computadoras conectadas a servidores remotos sin el conocimiento de sus dueños y en las que los hackers pueden operar a su antojo. Una vez que controlan la computadora pueden, por ejemplo, atacar redes corporativas o gubernamentales, robar identidades o enviar grandes cantidades de spam, entre otros delitos. Pese a la atención internacional generada ayer por el virus, esta no es la primera vez que Conficker ha sido programado para cambiar la forma en la que opera. El pasado 1 de enero, por ejemplo, los expertos esperaban un evento similar, pero el día pasó sin grandes alteraciones.

Conficker, uno de los virus troyanos más dañinos de la historia, trae de cabeza a los especialistas del sector desde octubre sin que las autoridades hayan logrado localizar a sus creadores.

Los expertos de Symantec, productora del antivirus Norton, creen que la lucha contra Conficker será en el futuro incluso más difícil.

“El virus empezará  a tomar más medidas para protegerse a sí mismo”, señalaron. “Contamos con que use un sistema de comunicación más difícil de interrumpir por parte de los expertos de seguridad”, apuntaron.

fuente: Noticias EFE

Conficker podría proceder de China

Hace unos meses que Microsoft puso sobre la mesa 250.000 dólares por cualquier información que llevara a un arresto relacionado con el gusano Conficker. La gente de BKIS, una empresa de seguridad vietnamita responsible del antivirus BKAV, ha anunciado que ha encontrado las claves para poder afirmar que el virus puede tener su origen en China. En un principio se apuntó a Rusia o Europa como posibles lugares de origen.

La conclusión de la empresa se basa en el análisis del código del virus, que ha puesto de manifiesto que es muy parecido al del Nimda, un virus que hizo estragos en Internet y el correo electrónico en 2001. Como es lógico, BKIS ha determinado que Nimda procede de China tras estudiar los propios datos de la firma del virus.

Es importante destacar que el origen de Nimda nunca se ha verificado y aunque contiene texto que indica que puede haberse originado en China, no hay una evidencia clara. Por otra parte, si lo descubierto por BKIS es creíble, todavía queda camino por recorrer para poder apuntar a la persona responsible de crear el virus.

Como se ha comentado con anterioridad, Conficker es un gusano muy sofisticado que afecta al sistema operativo Windows en sus versiones para 32-bit y 64-bit, incluso a aquellos que tienen los últimos ’service packs’.

fuente: vnunet.es

Conficker infecta el Parlamento Británico

Conficker sigue haciendo de las suyas, y según una noticia Channel 4 News el sistema informático del Parlamento del Reino Unido ha sido infectado con el gusano Conficker.

En la entrevista realizada por Channel 4 News a un portavoz parlamentario, sólo admitió que la infección se había producido, negándose a contestar a preguntas como: ¿Cuándo fue la última vez que actualizaron el antivirus en los sistemas de la red del parlamento?

Puesto que casi todos los principales proveedores de antivirus y antimalwares del mercado ya ofrecen protección contra el Conficker, existen preocupaciones generales acerca de la falta de integridad y competencia de la administración de TI parlamentaria, aunque el hecho de que se detectó Conficker indica que al menos una máquina en la red debe estar relativamente al día.

Debido a la cercanía del G20 se ha barajado la idea de que la infección este asociada a la cumbre del G20 que tendrá lugar en Londres la semana próxima, ya que hay posibilidades de que el Conficker se active el 1 de abril.

REFERENCIA Parliament reveals lack of digital security.

fuente: websecurity.com

Conficker se activará el 1 de abril

De acuerdo con investigadores de seguridad que han logrado descifrar parte del código de Conficker, el próximo 1 de abril este peligroso gusano se activará definitivamente en los más de 12 millones de computadoras infectadas.

De momento los detalles son muy pocos, esto en parte porque no se conoce la estructura completa del gusano. Algunos dicen que la “activación” consistiría en desactivar del equipo diversas soluciones de seguridad y borrar todos los datos del disco duro. Pero también se ha descubierto que Conficker integra un sistema P2P que podría ser utilizado para transferir datos de un equipo a otro.

Incluso hay teorías más conspiratorias que apuntan a un ataque DoS masivo por parte de todas las computadoras infectadas. No obstante, otros opinas que simplemente podría ser una broma. Y es que precisamente el 1 de abril se celebra el April fools’ day, el “Día de los Inocentes” pero en países anglosajones.

¿Estamos ante una nueva catástrofe informática? Por ahora no se puede saber ya que hasta el momento nadie ha podido descifrar la estructura de Conficker. Lo que está claro es que el 1 de abril se resolverán todas las dudas.

fuente: opensecurity

Top 10 del malware con mayor propagación

Reporte que muestra las amenazas más destacadas de febrero. Según el sistema ThreatSense.Net, este es el Top 10 del malware con mayor propagación durante febrero.

1. Win32/Conficker
Porcentaje total de detecciones: 7,48

Es un gusano que se propaga en redes de trabajo explotando una reciente vulnerabilidad en los sistemas operativos Windows de Microsoft, la cual se encuentra en el subsistema RPC y puede ser explotada en forma remota por el atacante, permitiéndole efectuar acciones maliciosas sin necesidad de utilizar credenciales de usuario válidas.

Además, hay una tendencia en alza de la propagación de variantes del Win32/Conficker que se propagan a través de recursos compartidos y dispositivos removibles de almacenamiento.

2. Win32/PSW.OnLine.Games
Porcentaje total de detecciones: 7,33

Es un troyano con capacidades de keylogger y de rootkit que recolecta información vinculada a los juegos en línea y sus usuarios y contraseñas.

3. INF/Autorun
Porcentaje total de detecciones: 6,44

Este es un código malicioso utilizado para ejecutar y proponer acciones automáticamente cuando un medio externo como un CD, un DVD o un dispositivo USB, es leído por el equipo informático.

Ranking estadístico de ESET de propagación de malware de febrero 2009

4. Win32/Agent
Porcentaje total de detecciones: 3,67

Es una detección genérica que describe a una serie de integrantes de una amplia familia de malware capaz de robar información del usuario de equipos infectados.

5. Win32/TrojanDownloader.Swizzor.NBF
Porcentaje total de detecciones: 2,07

Esta familia de malware es utilizada, frecuentemente, para descargar e instalar otros componentes maliciosos en un equipo infectado, generalmente adware.

En las últimas posiciones están el WMA/TrojanDownloader.GetCodec.Gen, el Win32/Adware.TencentAd y el Win32/Toolbar.MyWebSearch seguidos por el Win32/Adware.Virtumonde y el Win32/Qhost. En total, suman más del 6,93 por ciento del total de detecciones.

fuente: blogs.eset-la.com

La nueva versión del Conficker contacta con 50.000 dominios al día

Symantec ha descubierto una nueva modificación del gusano Conficker más difícil de parar todavía y que causa más daños.

Las versiones anteriores del gusano sólo contactaban con alrededor de 250 dominios al día, es decir, que buscaban sus propias actualizaciones en 250 servidores cada día, ahora con está nueva versión del Conficker, el gusano contacta con un máximo de 50.000 dominios al día además de utilizar un algoritmo de 116 sufijos de dominio posible.

Con lo que detener este virus va a ser más complicado todavía a partir de ahora, ya que el bloqueo de los dominios que esta realizando ICANN y OpenDNS va a ser mucho más complicado debido a la cantidad de dominios a revisar.
Además de ser más complicado de parar, está nueva versión del gusano también es más agresivo ahora y detecta una amplia gama de antivirus y software de seguridad en busca de procesos que contienen cadenas como Wireshark, Unlocker, tcpview, sysclean, Regmon,… para matar a esos procesos en un intento de pasar desapercibido para los antivirus.

Symantec ha denominado a está nueva versión del Conficker como W32.Downadup.C, y aunque Microsoft ofreció 250.000 dólares por información que lleve a la captura de los creadores del gusano Conficker, aún no se tiene información sobre sus creadores.

REFERENCIA: Conficker update attempts to foil Cabal, by Security Focus.

REFERENCIA: mtc.sri.com

fuente: websecurity.es

¿Aprende Conficker más rápido que los internautas?

Enésima versión de Conficker (en este caso llamada B++ por algunas casas) que salta a los sistemas (y a los medios). Se trata del azote vírico del año, en un paralelismo sorprendente en muchos aspectos con lo que se dio en llamar el “Storm worm” y que se convirtió en la pesadilla de todo 2007 y parte de 2008. Los niveles de infección de Conficker siguen al alza, quedando ya lejos aquella primera versión que solo aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido nada? ¿Puede presentarse otro malware de manual y evolucionar exactamente de la misma forma que uno que ya sufrimos hace dos años?

Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de sus servicios (corregido en octubre, en el boletín MS08-067), al más puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue hasta que enriqueció su estrategia de infección, cuando realmente los medios se fijaron en él. Desde diciembre, comienza a copiarse a las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio “a salvo” gracias al cortafuegos (su verdadero enemigo). Su relativo éxito anima a medios y casas antivirus a lanzar una alerta “palpable”, de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva.

Sobre esta base de infección y “cuota de mercado”, Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se ayuda de servidores comprometidos o no y una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo. Conficker evoluciona así desde un gusano tradicional hacia un complejo sistema perfectamente orquestado, cambiante y eficaz. Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.

Si miramos atrás, “Storm Worm” o “Storm Virus” se popularizó a finales de 2006 como malware de rápida distribución que infectó a millones de sistemas Windows. Al principio, se propagaba de la forma más “burda” posible: un ejecutable a través de spam. Esta técnica, que se creía superada, provocó que muchos usuarios lo ejecutasen y quedasen infectados. Como Conficker, triunfó a pesar de usar técnicas de infección muy poco novedosas. Como con Conficker, los medios se fijaron en él precisamente por su simplicidad, por suponer un virus reconocible por los usuarios medios y poder usarlo de cabeza de turco como años atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con una infraestructura de sistemas que crecía cada día, Storm Worm sentó las bases de un ejército de equipos infectados. Como Conficker, los atacantes comenzaron a mejorar su propio código, y de qué manera. A los pocos meses se propagaba a través de técnicas mucho más sofisticadas. Las máquinas infectadas se usaron para enviar spam (en cantidades industriales) en campañas espaciadas en el tiempo, cada una más virulenta que la anterior, que no hacían más que realimentar el número de sistemas infectados… Y Storm Worm se convirtió en una pesadilla de decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un año como número uno en infecciones? ¿Es que no hemos aprendido nada?

fuente: hispasec.com

Preguntas y respuestas sobre el gusano “Conficker”

¿Cuál es el grado de peligrosidad real de Conficker?

Conficker, también conocido como Downadup, Downad y Kido.ih, se aprovecha de una vulnerabilidad en el servicio RPC de Windows, solucionada por Microsoft el pasado octubre mediante un parche especial.

El ataque tiene lugar enviando una petición inicial al ordenador. En caso de ser vulnerable, se envía un archivo malicioso al ordenador de la víctima. Entonces, dicho archivo instala un servidor http y el ahora infectado PC envía otras peticiones de comprobación a otros equipos, y al igual que en el caso anterior, se procede al envío de nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, sticks, cámaras y similares. Esta combinación convierte a Conficker en el gusano más eficaz de los últimos doce meses, llegando a afectar a algunos de los 3.000 ordenadores del gobierno de Carintia, a numerosos hospitales en Austria e Inglaterra e incluso a partes de la marina francesa.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios, que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conflicker genera 250 nuevos nombres de dominio al día, basándose en la fecha.

La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los cibercriminales darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

MÁS SOBRE ESTA NOTICIA

fuente: la flecha

Conficker WANTED

En el lejano Oeste se recompensaba económicamente por la captura, vivo o muerto, de fieros pistoleros y sus secuaces; pero los tiempos han cambiado, y la figura de cazarrecompensas también se ha tenido que ir amoldando estos tiempos a usar más el teclado y menos el revólver.
Hace tiempo existió una larga discusión sobre si era ético o no comprar vulnerabilidades (iDefense, TippingPoint, …), pero ahora ya estamos hablando de una sustanciosa recompensa económica para el tenga información que sirva para detener y llevar a la cárcel al creador del Conficker (“Microsoft offers $250,000 reward for Conficker arrest and conviction.”)

Además, se anuncia también una colaboración entre diferentes empresas para ‘contener’ los destrozos de Conficker, básicamente registrando todos los dominios que puede usar el gusano para que nunca se pueda poner un panel de control (C&C) y controlar las millones de máquinas. Esta técnica se ha venido usando desde hace tiempo con el mismo objetivo con resultados muy dispares, puesto que al igual que S21sec puede registrar algunos de esos dominios, lo puede hacer cualquier otro, controlando todas esos millones de máquinas para beneficio propio (tan sólo hace falta conocer el algoritmo de generación de dominios).

Cada vez más código malicioso utiliza la técnica de dominios generados para evitar depender de uno o varios puntos de C&C que estuvieran predefinidos en el código (fácilmente bloqueables y/o fáciles de cerrar, además de ser la pista principal para ver quién está detrás). Es mucho más fácil e inteligente, dejar que el gusano esté infectando millones de máquinas, y cuando yo desee, registro un dominio (que por supuesto apunte a una máquina comprometida y controlada) y manejo a mi antojo mi legión de infectados.

Este método por supuesto que nos puede llegar a dar unos datos muy importantes en el transcurso de una investigación o análisis, pero tampoco está clara la legalidad o no del mismo. Es decir, cualquiera puede registrar un dominio, pero si al registrar ese dominio de repente empiezas a recibir millones de datos robados (no es el caso de Conficker, pero sí de otros), o simplemente, con publicar un simple PHP con unas órdenes específicas puedes ‘ejecutar’ acciones (como por ejemplo limpiar) en esos millones de máquinas, por lo menos nos tenemos que plantear si es legal o no hacerlo (hablamos de legalidad, no de ética).

Es también uno de los casos que comentamos hace tiempo sobre la falta de médidas para que un órgano totalmente neutro en Internet pueda realizar cualquier tipo de acción para evitar estos incidentes (y proteger a los usuarios). Ahora mismo no hay ningún actor responsable de poder tomar estas medidas (¿ICANN?, ¿Verisign?, ¿Microsoft?¿Quién?¿los registradores de los TLDs afectados?¿los ISP?) Realmente resulta sorprendente, que con todo lo que ocurre en Internet, no se tomen las medidas oportunas. ¿Tanto nos cuesta darnos cuenta? O nos tomamos en serio la Seguridad en Internet o sí que seguirá siendo el lejano Oeste.

fuente: s21sec

OpenDNS bloqueará el gusano Conficker

El servicio gratuito de DNS, OpenDNS, tiene previsto empezar a bloquear los intentos de conexión que realice el gusano Conficker a servidores de control.

El nuevo servicio gratuito también podrá alertar a los administradores de la presencia del gusano Conficker, así como ayudarle a localizar las máquinas infectadas.

OpenDNS utilizará una lista a la direcciones proporcionada por Kaspersky que esperan que bloquee las futuras conexiones del gusano Conficker.

El gusano Conficker es un gusano difícil de bloquear que intenta conectar con unos 250 servidores diferentes cada día, en busca de nuevas actualizaciones. Sin embargo, estas direcciones se pueden predecir, según informó F-Secure en su día, con lo que esperan conocer las direcciones de las próximas conexiones que intente realizar el gusano, y de esa forma poder bloquearlas antes de que lleguen a uno de los servidor que utiliza para actualizarse e infectar.

REFERENCIAS

openDNS

fuente: websecurity

Herramienta de ESET para eliminar Conficker

Luego de la repercusión que ha tenido Conficker y de la cantidad de equipos infectados en todo el mundo, en ESET hemos desarrollado una herramienta gratuita para los usuarios, en caso de que no utilice ESET NOD32.

Esta herramienta sólo elimina el Conficker y está disponible para todos los usuarios interesados, aunque además es recomendable la exploración con un antivirus actualizado con las ultimas firmas. Recordar que una formar de prevenir infectarse con este gusano es la de actualizar los equipos con los parches recomendados.

fuente: blogs.eset-la.com

Estadísticas de Conficker por Latinoamerica

Según los datos obtenidos por el Servicio Estadístico de Alerta Temprana, ThreatSense.Net, el gusano Conficker ha alcanzado un porcentaje de propagación mundial del 5% y del 8% en América Latina.

Sin embargo, en la Argentina, el gusano alcanzó el récord del 25% de todo el malware propagado en el país durante enero, dejando en evidencia la necesidad de gestionar la seguridad en forma adecuada.

Este porcentaje refleja una alarmante situación que repercute directamente en la falta de concientización, no sólo a nivel hogareño sino que, mucho más preocupante, en entornos corporativos. Una gran cantidad de infecciones se pudieron haber evitado de manera sencilla a través de la correspondiente actualización de seguridad y procedimientos claros tendientes a mitigar el impacto generado por este tipo de amenazas, las cuales no son novedosas ni sorpresivas.

En este caso en particular, la situación de la Argentina comparada con América Latina y el mundo demuestra la necesidad gestionar la seguridad de la información para evitar que estas historias se repitan, como ya sucedió con casos de códigos maliciosos altamente propagados en los últimos tiempos como Blaster, Sasser, RedCode, Zotob y otros tantos.

fuente: blogs.eset-la.com

El gusano Conficker consigue niveles aceptables de infección

En octubre, cuando Microsoft publicó su boletín MS08-067, se daba por hecho que aparecería un gusano capaz de aprovechar la vulnerabilidad, dadas sus características. No se apostaba por una infección masiva (tipo Blaster) aunque finalmente parece que está causando más daño del esperado, quizás gracias a un cambio de estrategia combinada que le está sirviendo como una eficaz vía de propagación.

El día 23 de octubre Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. El exploit era público un día después. La vulnerabilidad se volvía “ideal” para ser aprovechada por un gusano tipo Blaster (la pesadilla del verano de 2003). Apostamos a que no se alcanzaría ese grado de epidemia por muchas razones. La más poderosa es la existencia de cortafuegos activo por defecto en los Windows más modernos, que impide que el gusano tenga acceso al servicio vulnerable.

También se advertía que “el fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada”. Finalmente sí que está consiguiendo cierto grado de infección (más del que se esperába) en redes internas y fuera de ellas, en parte porque no sólo se está esparciendo accediendo al servicio vulnerable sino también a través de memorias USB.

Desde diciembre, el gusano adopta una nueva estrategia de infección, copiándose en las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio “a salvo” gracias al cortafuegos (su verdadero enemigo).

Aunque existe parche disponible desde antes de su aparición y el grueso de los antivirus lo detectan, en las últimas semanas está siendo una molestia para muchas empresas y organizaciones con redes mal configuradas. Uno de los “síntomas” que se pueden sufrir es que de repente algunas cuentas de dominio aparezcan deshabilitadas. El gusano fuerza por diccionario el recurso compartido ADMIN$ para acceder y copiarse en él. Esto provoca que como medida preventiva el usuario quede bloqueado.

Lo curioso es que estos métodos de infección se consideran obsoletos. Con la aparición del cortafuegos por defecto en Windows los gusanos “de toda la vida” quedaron olvidados. Igualmente, con la desaparición del disquete y la mejora de la seguridad de los clientes de correo, la infección se ha trasladado durante mucho tiempo hacia el navegador. Las memorias USB han hecho resurgir una técnica de infección “tradicional” en la que el gusano se copia a sí mismo en la memoria y espera a ser introducido en otro ordenador. Conficker consigue así, combinando dos “viejas” técnicas usadas desde hace años, un éxito relativo.

Decimos éxito “relativo” porque si bien está siendo molesto para muchos administradores, las cifras tampoco resultan espectaculares. Aunque los datos no deben ser tratados como definitivos y haya que tomarlos con precaución, en VirusTotal hemos recibido unas 2.500 muestras de archivos calificados como Cockflicker o Downadup desde finales de noviembre. De otras amenazas más sofisticadas como por ejemplo Zbot, que sí deben ser consideradas como peligrosas epidemias, hemos recibido casi 8.000 en el mismo periodo.

fuente: laflecha