1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2819/01/2009=29_Conficker_o_Downadup=2C_cabe

    From noticias@hispasec.com@2:341/201.99 to All on Tue Jan 20 15:00:02 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 19/01/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Conficker o Downadup, cabeza de turco
    -------------------------------------

    Conficker, también conocido como Downadup, ha saltado a los medios
    generalistas activando alarmas. La combinación de ciertas técnicas le ha permitido conseguir un buen número de infecciones. Pero no más que los
    cientos de miles de ejemplares de malware 2.0 que infectan hoy en día a
    la mayoría de los sistemas Windows. Conficker ha jugado bien sus cartas,
    pero no es una epidemia mayor que cualquier otra familia de malware
    existente. Quizás ese parecido con los troyanos antiguos, esa
    identificación con la imagen de virus de toda la vida que todavía muchos usuarios conservan como si fuese el panorama actual, ha permitido a este
    gusano aparecer como estrella mediática fácilmente señalable. Conficker
    es una cabeza de turco que no aporta realmente novedades al mundo del
    malware, ni por técnica ni por volumen, pero que por ciertos intereses,
    se ha convertido en una "estrella mediática".

    Conficker ha jugado bien sus cartas en su segunda versión, explotando
    varias vías de infección:

    * Adivina contraseñas de las redes compartidas. Esto le ha permitido
    eludir cortafuegos en redes internas. Además revela la debilidad de
    muchas contraseñas usadas por los administradores.

    * Se copia y ejecuta a través de memorias USB y dispositivos extraíbles.
    Para los administradores de redes supone un verdadero problema evitar de
    forma eficaz la proliferación de memorias USB que viajan de un sistema a
    otro. Para colmo, una mala política de seguridad que permite la
    ejecución automática de cualquier archivo almacenado en la memoria, y probablemente unos permisos inadecuados en el sistema, hacen el resto.

    * Aprovecha vulnerabilidades. Conficker comenzó aprovechando una
    vulnerabilidad muy peligrosa que permitía ejecución de código sin
    intervención del usuario. Sin embargo la proliferación de cortafuegos ha evitado que Conficker llegue a ser ni de lejos como Blaster, por lo que
    su adaptación ha sido clave.

    * Ingeniería social: El gusano aprovecha la autoejecución pero de una
    forma muy astuta. Disfrazándose como una de las opciones que aparecen en
    el menú de Windows cuando se inserta un dispositivo extraíble. Un
    usuario despistado creerá que está intentando explorar el dispositivo
    cuando en realidad ha ejecutado el ejemplar.

    * Malware 2.0: Aunque sus técnicas de infección en general no sean las
    más usadas últimamente, sí se sirve de características claras del
    malware 2.0, como la descarga de componentes (tanto archivos de
    configuración como otros ejecutables) desde servidores web,
    convirtiéndose así en toda una infraestructura y no en un gusano
    autocontenido tradicional.

    Uno de los principales enemigos de este gusano es que es fácilmente identificable por las casas antivirus. Los niveles de detección son
    aceptables incluso por firmas. Además, la "herramienta de eliminación de solftware malintencionado" de Microsoft incluye ya una firma para
    eliminar sistemas infectados. Nada que ver con el malware que es
    reconocido por una pequeña cantidad de motores durante meses, y que
    componen el grueso del verdadero panorama vírico actual.

    Cada vez es más complicado identificar un troyano como tal. Se puede
    hablar de familias pero con Conficker se ha vuelto en cierto modo a
    revivir viejas costumbres de los troyanos que se creían obsoletas. Su
    relativo éxito ha animado a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se
    alertaba sobre virus concretos de propagación masiva. Pero la difusión
    de Conficker está lejos de sobrepasar a esas "antiguas" epidemias.
    Incluso está lejos de alcanzar otras epidemias actuales más peligrosas
    pero mucho menos indentificables, por su complejidad. Conficker sirve
    así como cabeza de turco, un troyano reconocible y concreto al que
    señalar ante la inmensa, indomable e inadvertida avalancha de malware
    actual. Un "mal ejemplo" con el que poder mantener viva la sensación de
    alerta. Aunque en ningún modo haya que despreciar su potencial daño, lo
    bueno es que como mínimo la repercusión servirá para concienciar sobre
    los peligros del malware en general.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3740/comentar

    Más información:

    Las llaves de memoria USB propagan un virus por millones de ordenadores http://www.elpais.com/articulo/sociedad/llaves/memoria/USB/propagan/virus/millones/ordenadores/elpepisoc/20090120elpepisoc_6/Tes

    12/01/2009 El gusano Conficker consigue niveles aceptables de infección,
    al fin y al cabo
    http://www.hispasec.com/unaaldia/3733

    Un peligroso virus infecta a millones de ordenadores con Windows http://www.elmundo.es/elmundo/2009/01/19/navegante/1232398238.html


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    19/01/2008: Múltiples vulnerabilidades a través de Solaris X Server Extensions
    http://www.hispasec.com/unaaldia/3374

    19/01/2007: Ejecución de código a través de imágenes GIF en Sun Java Runtime Environment
    http://www.hispasec.com/unaaldia/3009

    19/01/2006: Grupo de parches de enero para diversos productos Oracle
    http://www.hispasec.com/unaaldia/2644

    19/01/2005: Múltiples vulnerabilidades en productos de Oracle
    http://www.hispasec.com/unaaldia/2279

    19/01/2004: "Bagle", nuevo gusano de propagación masiva
    http://www.hispasec.com/unaaldia/1912

    19/01/2003: Cursos de Seguridad Informática e Internet 2003
    http://www.hispasec.com/unaaldia/1547

    19/01/2002: Vulnerabilidad en STUNNEL
    http://www.hispasec.com/unaaldia/1182

    19/01/2001: Problema de seguridad en el sistema webmail TWIG
    http://www.hispasec.com/unaaldia/817

    19/01/2000: Compromiso de seguridad en la versión 1.94.4 de "majordomo"
    http://www.hispasec.com/unaaldia/449

    19/01/1999: El DES III ha caído en menos de 24 horas
    http://www.hispasec.com/unaaldia/84


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)