domingo, 1 de marzo de 2009

¿Aprende Conficker más rápido que los internautas?

Enésima versión de Conficker (en este caso llamada B++ por algunas casas) que salta a los sistemas (y a los medios). Se trata del azote vírico del año, en un paralelismo sorprendente en muchos aspectos con lo que se dio en llamar el "Storm worm" y que se convirtió en la pesadilla de todo 2007 y parte de 2008. Los niveles de infección de Conficker siguen al alza, quedando ya lejos aquella primera versión que solo aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido nada? ¿Puede presentarse otro malware de manual y evolucionar exactamente de la misma forma que uno que ya sufrimos hace dos años?

Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de sus servicios (corregido en octubre, en el boletín MS08-067), al más puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue hasta que enriqueció su estrategia de infección, cuando realmente los medios se fijaron en él. Desde diciembre, comienza a copiarse a las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio "a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo éxito anima a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva.

Sobre esta base de infección y "cuota de mercado", Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se ayuda de servidores comprometidos o no y una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo. Conficker evoluciona así desde un gusano tradicional hacia un complejo sistema perfectamente orquestado, cambiante y eficaz. Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.

Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales de 2006 como malware de rápida distribución que infectó a millones de sistemas Windows. Al principio, se propagaba de la forma más "burda" posible: un ejecutable a través de spam. Esta técnica, que se creía superada, provocó que muchos usuarios lo ejecutasen y quedasen infectados. Como Conficker, triunfó a pesar de usar técnicas de infección muy poco novedosas. Como con Conficker, los medios se fijaron en él precisamente por su simplicidad, por suponer un virus reconocible por los usuarios medios y poder usarlo de cabeza de turco como años atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con una infraestructura de sistemas que crecía cada día, Storm Worm sentó las bases de un ejército de equipos infectados. Como Conficker, los atacantes comenzaron a mejorar su propio código, y de qué manera. A los pocos meses se propagaba a través de técnicas mucho más sofisticadas. Las máquinas infectadas se usaron para enviar spam (en cantidades industriales) en campañas espaciadas en el tiempo, cada una más virulenta que la anterior, que no hacían más que realimentar el número de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un año como número uno en infecciones? ¿Es que no hemos aprendido nada?


Sergio de los Santos
ssantos@hispasec.com


Más información:

22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012

19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740

17/01/2008 Un año de Storm Worm
http://www.hispasec.com/unaaldia/3372

23/10/2007 La epidemia del "Storm Worm", algunas cifras
http://www.hispasec.com/unaaldia/3286

New Conficker B++ Worm Discovered, More Stealth
http://www.infopackets.com/news/security/2009/20090225_new_conficker_b++_worm_discovered_more_stealth.htm

No hay comentarios:

Publicar un comentario en la entrada