1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2801/03/2009=29_=BFAprende_Conficker_m=E1s_r

    From noticias@hispasec.com@2:341/201.99 to All on Mon Mar 2 08:50:00 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 01/03/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    ¿Aprende Conficker más rápido que los internautas?
    --------------------------------------------------

    Enésima versión de Conficker (en este caso llamada B++ por algunas
    casas) que salta a los sistemas (y a los medios). Se trata del azote
    vírico del año, en un paralelismo sorprendente en muchos aspectos con lo
    que se dio en llamar el "Storm worm" y que se convirtió en la pesadilla
    de todo 2007 y parte de 2008. Los niveles de infección de Conficker
    siguen al alza, quedando ya lejos aquella primera versión que solo
    aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido
    nada? ¿Puede presentarse otro malware de manual y evolucionar
    exactamente de la misma forma que uno que ya sufrimos hace dos años?

    Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de
    sus servicios (corregido en octubre, en el boletín MS08-067), al más
    puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas
    bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue
    hasta que enriqueció su estrategia de infección, cuando realmente los
    medios se fijaron en él. Desde diciembre, comienza a copiarse a las
    unidades mapeadas en el sistema y, sobre todo, en los dispositivos
    extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque
    automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas
    (donde aparentemente tiene más posibilidades de propagarse) hacia
    cualquier otro sistema externo, y esparcirse así en redes en principio
    "a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo
    éxito anima a medios y casas antivirus a lanzar una alerta "palpable",
    de las que hacía años que no se emitían, como cuando se alertaba sobre
    virus concretos de propagación masiva.

    Sobre esta base de infección y "cuota de mercado", Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un
    complejo sistema multi-modular que se ayuda de servidores comprometidos
    o no y una flexibilidad que permite que sus métodos de infección mejoren
    cada poco tiempo. Conficker evoluciona así desde un gusano tradicional
    hacia un complejo sistema perfectamente orquestado, cambiante y eficaz.
    Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.

    Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales
    de 2006 como malware de rápida distribución que infectó a millones de
    sistemas Windows. Al principio, se propagaba de la forma más "burda"
    posible: un ejecutable a través de spam. Esta técnica, que se creía
    superada, provocó que muchos usuarios lo ejecutasen y quedasen
    infectados. Como Conficker, triunfó a pesar de usar técnicas de
    infección muy poco novedosas. Como con Conficker, los medios se fijaron
    en él precisamente por su simplicidad, por suponer un virus reconocible
    por los usuarios medios y poder usarlo de cabeza de turco como años
    atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con
    una infraestructura de sistemas que crecía cada día, Storm Worm sentó
    las bases de un ejército de equipos infectados. Como Conficker, los
    atacantes comenzaron a mejorar su propio código, y de qué manera. A los
    pocos meses se propagaba a través de técnicas mucho más sofisticadas.
    Las máquinas infectadas se usaron para enviar spam (en cantidades
    industriales) en campañas espaciadas en el tiempo, cada una más
    virulenta que la anterior, que no hacían más que realimentar el número
    de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de
    decenas de archivos que mutaban y cambiaban cada minuto, muchos datos
    robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada.

    ¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un
    año como número uno en infecciones? ¿Es que no hemos aprendido nada?

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3781/comentar


    Más información:

    22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas http://www.hispasec.com/unaaldia/3012

    19/01/2009 Conficker o Downadup, cabeza de turco http://www.hispasec.com/unaaldia/3740

    17/01/2008 Un año de Storm Worm
    http://www.hispasec.com/unaaldia/3372

    23/10/2007 La epidemia del "Storm Worm", algunas cifras http://www.hispasec.com/unaaldia/3286

    New Conficker B++ Worm Discovered, More Stealth http://www.infopackets.com/news/security/2009/20090225_new_conficker_b++_worm_discovered_more_stealth.htm


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    01/03/2008: Actualización del kernel 2.4.x para Debian Linux 3.1
    http://www.hispasec.com/unaaldia/3416

    01/03/2007: Nuevos contenidos en CriptoRed (febrero de 2007)
    http://www.hispasec.com/unaaldia/3050

    01/03/2006: Ruptura del cifrado Enigma de cuatro rotores
    http://www.hispasec.com/unaaldia/2685

    01/03/2005: Falsificación de resolución de nombres de dominio en KDE KPPP
    http://www.hispasec.com/unaaldia/2320

    01/03/2004: ALERTA: gusano Netsky.D, detectada gran propagación en las últimas horas
    http://www.hispasec.com/unaaldia/1954

    01/03/2003: Denegación de servicio por SMS en teléfonos Nokia 6210
    http://www.hispasec.com/unaaldia/1588

    01/03/2002: Notable éxito del Primer Congreso Iberoamericano de Seguridad Informática
    http://www.hispasec.com/unaaldia/1223

    01/03/2001: Cisco actualiza el IOS para prevenir una vulnerabilidad
    http://www.hispasec.com/unaaldia/858

    01/03/2000: La última versión del PHP, la 3.0.15, soluciona varios problemas de
    seguridad.
    http://www.hispasec.com/unaaldia/491

    01/03/1999: Ataque a cuentas de usuario a través de IIS 4.0
    http://www.hispasec.com/unaaldia/125


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)