Aug 30, 2009

Virus Conficker

En Octubre de 2008 Microsoft dio a conocer una vulnerabilidad que afectaba a los sistemas operativos Windows 2000, XP, Vista, Server 2003 y Server 2008. Microsoft libera el parche 958644 junto con su boletín de seguridad MS08-67, fuera de su ciclo de actualizaciones mensuales y considerándolo con el riesgo de crítico. Esta vulnerabilidad sin autenticación permite la ejecución remota de código arbitrario si un sistema afectado recibe una solicitud RPC y la compartición de archivos está habilitada.

Esta vulnerabilidad es aprovechada por el virus Conficker, gusano informático capaz de infiltrase en los sistemas con la posibilidad de dañar y realizar acciones maliciosas sin el consentimiento del usuario. Este tipo de virus tiene la peculiaridad de multiplicarse rápidamente por la red, además de ocultarse y protegerse para evitar su eliminación.

Hasta el momento se conocen tres generaciones del Conficker que varían sus métodos de infección y de propagación, así como las acciones que ejecutan en los equipos infectados. Cada una de las sucesivas generaciones incorpora las características de la anterior, así como nuevas funcionalidades.

Primera generación

En esta primera generación, el malware suele llegar a través de un enlace en un correo electrónico. Si el usuario lo pulsa y el equipo no está protegido, puede infectarlo.

A su vez, la nueva máquina afectada escanea todo el segmento de red al que pertenece en busca de máquinas con recursos compartidos publicados. Para ello lo que hace es ejecutar peticiones masivas al puerto SMB (445).

Si el gusano detecta un equipo con un recurso compartido, aprovechaba para replicarse a ella ejecutando código de forma remota a través de una llamada al servicio RPC.

En esta primera fase fueron apareciendo nuevas variantes, las cuales fueron incorporaron novedosas técnicas de auto-protección: deshabilitación del firewall y del antivirus, bloqueos de los accesos a páginas web de seguridad y actualizaciones de Windows, etc.

Microsoft publicó entonces un listado de los dominios utilizados por el Conficker.

Segunda generación

En esta segunda generación del Conficker (Febrero 2009), el virus es capaz de propagarse a través de unidades de almacenamiento externas. Para ello, una máquina infectada copia dentro de la unidad extraíble dos fichero: un ejecutable (que contiene el virus) y un archivo autorun.inf que instala el virus automáticamente al introducir el dispositivo en otro computador no protegido correctamente por un antivirus.

Además esta segunda generación es capaz de conectarse a otros servidores de Internet para descargar nuevas variantes del virus, lo que provoca que si el fichero de firmas del antivirus no se encuentra correctamente actualizado, esta nueva variante puede infectar rápidamente a otros equipos.

Tercera generación

Esta nueva generación (Marzo 2009) tiene la capacidad de comportarse también como un troyano, que además de deshabilitar los sistemas de protección de una máquina, puede implementar métodos de autoprotección para inmunizarse de los diferentes sistemas de seguridad:
  • Se copia dentro de la carpeta del sistema y deja otras copias en otros directorios de Windows. Estas copias se establecen con los atributos de sólo lectura y ocultación, restringiendo de esta forma su acceso por parte de los usuarios.
  • Añade una entrada en el registro de Windows que se ejecuta nada más iniciar el sistema operativo.
  • Registra un servicio con un nombre aleatorio utilizando ciertas palabras claves, consiguiendo de esta forma parecer un proceso normal del sistema.
  • Parchea aquellos procesos y APIs que puedan suponer un riesgo para el gusano.
Un síntoma muy claro que aparece con esta tercera generación del Conficker es el bloqueo de cuentas de usuarios en el dominio. El gusano intenta propagarse por la red copiándose en los recursos compartidos a través de una lista de usuarios que obtiene del propio sistema infectado y empleando para ello un diccionario de contraseñas débiles.

Si la política de bloqueo de la máquina atacada está activada, tras cierto número de intentos fallidos dejará la cuenta inaccesible.

Además esta nueva variante posee un potente sistema P2P, con lo que cada una de las máquinas infectadas podría conectarse con el resto de equipos afectados y descargar una nueva variante del virus más actualizada a través de esta vía.

Para esta tercera generación, la lista de dominios afectados ha aumentado de 50.000 a 250.000, lo que hace cada vez más difícil el control y bloqueo de los mismos.

No comments:

Post a Comment