El 21 de noviembre de 2008 Conficker salió a la luz con otros nombres como Downup, Downandup o Kido, Sus principales víctimas eran ordenadores que utilizaban sistemas operativos de la familia Microsoft Windows.
El gusano aprovechaba una vulnerabilidad detectada en el servicio de Windows Server que afectaba a una gran parte de los sistemas operativos de la marca, incluyendo algunos tan utilizados como Windows 2000, Windows XP, Windows Vista, Windows Server 2003 y 2008.
Fueron números las versiones que surgieron de este virus con diferentes métodos de propagación de ataque, desde incluir código malicioso en correos electrónicos a modo de pishing hasta copiarse al sector Admin de máquinas con Windows. Pero la brecha principal de ataque que aprovechaba era una antigua vulnerabilidad para adivinar contraseñas y secuestrar equipos Windows con el objetivo de formar una gran botnet.
Debido a que el principal mecanismo de propagación era a través de una vulnerabilidad que ya había sido reportada y resuelta, la mayoría de empresas de seguridad no consideraron la amenaza como un problema importante. El cálculo de estas previsiones fue erróneo ya que en marzo de 2009 Conficker había infectado el 6% de ordenadores del mundo y represento el 25% de todo el malware que se había propagado ese año.
A través de una solicitud RCP se realizaba un desbordamiento de buffer en el equipo victima consiguiendo ejecutar una shell con la que descargaba y ejecutaba el virus. Si la maquina víctima era vulnerable, se lanzaba una conexión HTTP a través del puerto 1024 y 1000 para descargarse una copia del virus en forma de librería DLL. Una vez Conficker estaba en la maquina victima éste se copiaba como una libreria propia del sistema. Cualquier punto de restauración que Conficker encontraba era eliminado.
A partir de aquí, el gusano va a intentar infectar más equipos a través de una conexion HTTP en un puerto aleatorio de la máquina. Después de averiguar cual era la IP de la maquina donde estába alojado, a través de consultas a páginas web como Checkmyip o Getmyip, dicha información es enviada al siguiente equipo víctima, mediante una nueva conexión HTTP, la cual se utilizaba para descarga nueva copia del virus.
Cuando Conficker había conseguido infectar un equipo éste desactivaba varios servicios:
- Windows Update
- Windows Security Center
- Windows Defender
- Windows Error Reporting
Conficker también era capaz de propagarse a través de las unidades del sistema, tanto extraíbles como compartidas, si alguno de estos recursos compartidos estaba protegido mediante contraseña, el gusano realizaba un ataque de diccionario que podía deshabilitar las políticas de seguridad del sistema debido a la gran cantidad de traficoque se generaba. Cada vez que se infectaba un medio extraíble, el virus colocaba una copia de sí mismo en el archivo recycle.bin para intentar seguir infectando cualquier equipo donde fuera conectado el USB.
También era capaz de iniciarse en el arranque del sistema debido a que el virus guardaba una copia de la DLL, en la carpeta System o en la carpeta system32. Al guardar una copia de la librera en estas ubicaciones era imposible su eliminación aunque tuviéramos privilegios de administrador.
En el mes de febrero de 2009 Microsoft ofreció una suculenta recompensa por toda aquella información veraz que llevara a identificar a la persona o grupo de personas que habían creado el gusano. Ese mismo año el FBI comunico que tras una investigación habían descubierto que la primera máquina que había sido infectada se había localizado en Ucrania. A día de hoy, todavía no se ha podido descubrir quien creo este malware.
El 15 de Octubre de 2008 Microsoft lanzo un parche que corrigia la vulnerabilidad que el gusano utilizaba para acceder a los sistemas. Existen varias aplicaciones en la red creadas por empresas como SOPHOS, ESET, Panda Security, Symantec o Kaspersky que parchean dicha vulnerabilidad.
Posteriores versiones de Conficker, además de dificultar su detección y desinfección utilizaban nuevos métodos de propagación:
- Dejando copias sí mismo en las carpetas compartidas de Microsoft.
- Compartiendo información de manera forzada a través de P2P.
¿Estoy infectado por Confiker?
Si todavía no sabéis si alguno de vuestros equipos está infectado por este virus estos son algunos de los típicos síntomas que produce Conficker en los ordenadores:
- Algunos servicios de Microsoft se habrán desactivado.
- Gran congestión de red debido a la gran cantidad de peticiones ARP.
- Sitios web relacionados con antivirus inaccesibles.
- Posibles bloqueos en las cuentas de usuarios.
Técnico superior en administración de sistemas informáticos / Certificado Cisco CCNA / Auditor de seguridad informática /
