Un antiguo gusano explota la misma vulnerabilidad que Conficker
La variante del gusano conocido como Neeris y creado en 2005 se ha actualizado para aprovechar la misma puerta trasera que ha estado utilizando Conficker/Downadup.
Una versión actualizada del antiguo gusano conocido como Neeris está enfocada a explotar la misma vulnerabilidad de Windows que han estado utilizando las distintas variedades de Conficker.
Esta nueva variante de Neeris (que apareció por primera vez en 2005) se lanzó durante las últimas horas del día 31 de marzo y se extendió durante el siguiente día, el 1 de abril. Sin embargo, fuentes oficiales del blog Centro de Protección de Malware de Microsoft han asegurado que no tiene nada que ver con el algoritmo de activación de la variante Conficker.D que se esperaba para ese mismo día.
Conficker.D también es denominado por otros desarrolladores de software de seguridad como Conficker.C o Downadup.C, un gusano que ha infectado a millones de ordenadores a nivel mundial.
La nueva versión de Neeris ha sido detectada por Microsoft como Win32/Neeris.gen!C.
Si este Exploit se llevara a cabo con éxito, la máquina de la víctima descargaría una copia de Neeris desde la máquina atacante a través de HTTP. Además también se expandiría a través de la función AutoRun y añadiría la misma opción de reproducción de Conficker a través de la función “Abrir carpeta para ver los ficheros”.
Neeris comenzó siendo un bot a través de IRC que se expandía enviando enlaces a través de MSN Messenger. De hecho, tal y como aseguran en la entrada publicada de este blog de Microsoft, “sigue operando como un bot IRC, pero se han ido añadiendo más métodos de expansión”. No en vano, las últimas variedades pueden expandirse tanto a través de unidades extraíbles de almacenamiento como de servidores SQL (a través de contraseñas poco seguras).
Debido a la similitud con Conficker, se aconseja llevar a cabo los mismos métodos de detección y eliminación ya publicados en eWEEK, así como desactivar la función de AutoRun en el sistema operativo. También deberían asegurarse de instalar el parche MS08-067 si no lo han hecho ya.
Las primeras muestras tomadas de Neeris datan de mayo de 2005, por lo que parece que los autores de Conficker han podido utilizarlas también para desarrollar este gusano. No obstante, los desarrolladores de Neeris han añadido estas nuevas funcionalidades más tarde, por lo que parece que tanto unos como otros podrían estar colaborando entre sí o en conocimiento de las mejoras de cada uno de dichos gusanos.