Conficker ha jugado bien sus cartas en su segunda versión, explotando varias vías de infección:
* Adivina contraseñas de las redes compartidas. Esto le ha permitido eludir cortafuegos en redes internas. Además revela la debilidad de muchas contraseñas usadas por los administradores.
* Se copia y ejecuta a través de memorias USB y dispositivos extraíbles. Para los administradores de redes supone un verdadero problema evitar de forma eficaz la proliferación de memorias USB que viajan de un sistema a otro. Para colmo, una mala política de seguridad que permite la ejecución automática de cualquier archivo almacenado en la memoria, y probablemente unos permisos inadecuados en el sistema, hacen el resto.
* Aprovecha vulnerabilidades. Conficker comenzó aprovechando una vulnerabilidad muy peligrosa que permitía ejecución de código sin intervención del usuario. Sin embargo la proliferación de cortafuegos ha evitado que Conficker llegue a ser ni de lejos como Blaster, por lo que su adaptación ha sido clave.
* Ingeniería social: El gusano aprovecha la autoejecución pero de una forma muy astuta. Disfrazándose como una de las opciones que aparecen en el menú de Windows cuando se inserta un dispositivo extraíble. Un usuario despistado creerá que está intentando explorar el dispositivo cuando en realidad ha ejecutado el ejemplar.
* Malware 2.0: Aunque sus técnicas de infección en general no sean las más usadas últimamente, sí se sirve de características claras del malware 2.0, como la descarga de componentes (tanto archivos de configuración como otros ejecutables) desde servidores web, convirtiéndose así en toda una infraestructura y no en un gusano autocontenido tradicional.
Uno de los principales enemigos de este gusano es que es fácilmente identificable por las casas antivirus. Los niveles de detección son aceptables incluso por firmas. Además, la "herramienta de eliminación de solftware malintencionado" de Microsoft incluye ya una firma para eliminar sistemas infectados. Nada que ver con el malware que es reconocido por una pequeña cantidad de motores durante meses, y que componen el grueso del verdadero panorama vírico actual.
Cada vez es más complicado identificar un troyano como tal. Se puede hablar de familias pero con Conficker se ha vuelto en cierto modo a revivir viejas costumbres de los troyanos que se creían obsoletas. Su relativo éxito ha animado a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva. Pero la difusión de Conficker está lejos de sobrepasar a esas "antiguas" epidemias. Incluso está lejos de alcanzar otras epidemias actuales más peligrosas pero mucho menos indentificables, por su complejidad. Conficker sirve así como cabeza de turco, un troyano reconocible y concreto al que señalar ante la inmensa, indomable e inadvertida avalancha de malware actual. Un "mal ejemplo" con el que poder mantener viva la sensación de alerta. Aunque en ningún modo haya que despreciar su potencial daño, lo bueno es que como mínimo la repercusión servirá para concienciar sobre los peligros del malware en general.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
Las llaves de memoria USB propagan un virus por millones de ordenadores
http://www.elpais.com/articulo/sociedad/llaves/memoria/USB/propagan/virus/millones/ordenadores/elpepisoc/20090120elpepisoc_6/Tes
12/01/2009 El gusano Conficker consigue niveles aceptables de infección,
al fin y al cabo
http://www.hispasec.com/unaaldia/3733
Un peligroso virus infecta a millones de ordenadores con Windows
http://www.elmundo.es/elmundo/2009/01/19/navegante/1232398238.html
