Alerta de Seguridad: Actualización sobre Conficker.C
LIMA, PERÚ – 31 de marzo de 2009 – La proximidad del mes de abril ha generado muchos comentarios sobre Conficker, un gusano que se ha considerado una de las infecciones que más se ha propagado en los años recientes. Algunas estimaciones calculan que se han infectado más de 10,000,000 computadoras.
La comunidad de sombreros blancos y el Conficker Cabal Group han hecho grandes esfuerzos por mitigar las infecciones de Conficker, y con éxito. La estimación actual indica que el número de computadoras infectadas se ha reducido a 1-2 millones, lo que sigue siendo un gran número cuando se compara con los bots recientes.
Se ha especulado mucho sobre lo que sucederá el 1 de abril, una fecha especial que se ha codificado en la variante más reciente del archivo binario del gusano. La comunidad de Internet tiene suerte de que se haya realizado una investigación muy buena sobre las diferentes variantes del gusano: A, B, B++ y C.
Una breve nota de los clientes de Websense antes de profundicemos más en Conficker:
Los clientes de Websense están protegidos.
Tenemos el algoritmo de generación de nombres de dominio (más sobre esto en una actualización por separado) y estamos clasificando esos URLs. Las máquinas que ya están infectadas con Conficker no podrán recibir actualizaciones.
- Websense está clasificando activamente los ejecutables binarios maliciosos y los sitios Web
- Websense logra esto a través de la detección genérica y específica, y mediante la ThreatSeeker Network Web Reputation
Algoritmo de Generación de Dominios (DGA): ¿Qué sucederá el 1 de abril?
¿Qué sucederá el 1 de abril? Esta fecha está codificada en las variantes Conficker.C y es por eso que ha llamado mucho la atención. En esa fecha, Conficker va a actualizar su algoritmo de generación de dominios para 50,000 dominios al día y tratará de acceder a 500 de esos una vez al día. Esta es una de las contramedidas y protecciones que los autores del gusano introdujeron a los exitosos esfuerzos del grupo Cabal para detener el registro de 250 dominios a los que las variantes anteriores (A, B y B++) tratan de acceder cada día. Este cambio, que comienza el 1 de abril de 2009, sólo afectará a las máquinas ya infectadas. También significa que las variantes ConfickerC en esas máquinas generarán una lista de 50,000 dominios al día. El gusano intentará y accederá a 500 de esos dominios. Sólo la gente detrás de Conficker sabe qué dominios realmente van a registrar y activar. De hecho, podrían registrar solo un dominio al día (o más o menos), pero cuando lo hagan – si no son interrumpidos una vez más por el Cabal Group – las máquinas infectadas tratarán de tener acceso a esos dominios, obteniendo potencialmente actualizaciones para hacer algo – potencialmente. No necesariamente significa que el gusano va a hacer algo malo ese día pues todo depende de si estará disponible una actualización que pueda descargar el gusano. Además, las variantes más recientes están equipadas con un mecanismo de P2P, de modo que las órdenes pueden haberse ya transmitido a los bots.
Cuando la gente detrás de Conficker decide que es hora de hacer algo que les hará ganar dinero, como robar datos, emitir ataques DDOS, enviar spam, etc., podrán hacerlo cuando lo deseen. No tiene que ser el 1 de abril. Suponemos que la gente detrás de Conficker está esperando que pase algo de tiempo después de esa fecha para realizar una actualización máxima de bots. El tiempo es dinero y es lógico suponer que algo va a suceder muy pronto. Asimismo, parece que quienes están detrás del gusano están analizando sus opciones con mucho cuidado y podrían incluso estar intentando más relaciones “de negocio” para decidir qué ruta será la más segura y rentable.
Ingeniería inversa para el Algoritmo de Generación de Dominios
En Websense Security Labs, realizamos la ingeniería inversa de las diferentes variantes de Conficker para descubrir los dominios que el gusano tratará de contactar cada día. Como ya se dijo, la variante C genera una lista de 50,000 dominios al día. De esos, el gusano tratará de acceder a 250 dominios.
Websense estará al pendiente para reportar cualquier desarrollo.
Para consultar más detalles de esta alerta, clic aquí: http://securitylabs.websense.com/content/Alerts/3329.aspx