Conficker: el gusano del que nunca nos libraremos

Mucho se ha escrito ya sobre una de las mayores amenazas de los últimos meses, el gusano Conficker.

Todo indica a que el próximo 1 de abril los equipos infectados recibirán una actualización que permitirá hacer evolucionar aún más a esta secuencia de código.

Sin embargo, aún no se sabe con certeza qué es lo que esta actualización traerá consigo, pero lo que sí es cierto es que Conficker, también conocido como Downadup, ya ha demostrado lo que es capaz de hacer. La última iteración del gusano, la versión C, es capaz de añadir comunicación P2P entre los sistemas infectados y un algoritmo de última generación.

Además, también ha sido capaz de lanzar una barrera defensiva para protegerse a sí mismo. Esta protección mataba DNS, desactivaba las Actualizaciones automáticas e incluso algunos antivirus.

Afortunadamente, existen formas para eliminar manualmente la última versión, así como algunas herramientas disponibles desde Symantec y otros desarrolladores para ayudar a los usuarios para que limpien sus sistemas.

Sin embargo, son ya muchos meses en los que Conficker se mantiene presente a nivel global.

“Desde una perspectiva de alto nivel, la variante A daba la impresión de ser simplemente un test”, ha comentado Pierre-Marc Bureau, investigador de la compañía Eset. “Disponía de un código que probablemente no estaba desarrollado para expandirse a nivel mundial. Por ejemplo, en ese momento simplemente buscaba la presencia de un teclado Ucraniano o una dirección IP de dicho país antes de infectar el sistema”.

Las primeras variantes de esta amenaza también eran capaces de descargar y ejecutar un fichero llamado loadav.exe, lo que permitió a los investigadores pensar que su objetivo era bloquear los antivirus de los equipos. No obstante, este fichero nunca llegó subirse a ningún servidor web, por lo que tampoco fue descargado por Conficker.

La segunda versión del gusano, más avanzada, era capaz de expandirse a través de los compartidos de la red mediante un log in en las máquinas con contraseñas débiles. Además, realizaba un escaneo en busca de nuevos ordenadores de forma mucho más rápida que las versiones previas y, de forma adicional, se propagaba a través de unidades de memoria Flash USB.

“Durante la última semana, casi el 4% de nuestros usuarios han sido atacados por Conficker, ya fuera a través del acceso a un dispositivo infectado o bien mediante un ataque a través de la red”, añadió Bureau. “El porcentaje es muy alto y muestra que un gran número de ordenadores sigue infectándose mediante la propagación del gusano”.

En total, se piensa que las distintas variantes de Conficker han infectado millones de ordenadores. La situación ha obligado a muchas organizaciones, con Microsoft y AOL a la cabeza, a deshabilitar los dominios que el gusano tiene como objetivo. Aún con todo, los investigadores no están aún cerca de finalizar la propagación.

“No creo que la amenaza provenga del gusano en sí mismo, sino que debemos preocuparnos por la gente que tiene el control de los sistemas infectados”, afirmó Adriel Desautels, director técnico de Netragard. “Esas personas tienen una peligrosa arma entre sus manos, y nos está apuntando directamente a todos nosotros”.