Conficker la gran amenaza del 2009

El 23 de octubre de 2008, Microsoft publicó una de sus poco comunes y no programadas actualizaciones de un problema de seguridad en el servicio Windows Server. El malware que aprovechaba esta vulnerabilidad fue descubierto un tiempo despuías.

Recientemente, en la comunidad de Internet se han publicado varios cientos de variantes de una familia de malware de gusanos conocida como Conficker (algunos proveedores de seguridad la llaman Downadup). Parece que podemos hablar ya de casi 10 millones de equipos infectados lo que convierte a la familia de los gusanos Conficker en una de las peores amenazas para los usuarios informáticos de los últimos tiempos.

¿Pero qué es Conficker? ¿Cómo funciona? ¿Cómo podemos protegernos?
Are F¸ Director General de Tecnología de Norman ASA, nos aclara algunas dudas sobre Conficker:

¿Quía es Conficker?
Hablemos de Conficker. Antes de empezar, hablemos de su nombre; es algo extraño y tiene un toque un poco sórdido, ¿no?
Así es. En el ámbito de la seguridad hay quien sustituye además la < i > por una < u > por lo que puede imaginar los errores de pronunciación y de ortografía (en ingles suena como < configurer >)

En relación al nombre es difícil decir cómo se escogió. Creemos que actualmente el Conficker es una combinación de Configuración y Figura. En alemán es incluso peor, puesto que es una palabra que significa que < estropea > tu configuración.

¿Pero las empresas de seguridad suelen dar a los virus ese tipo de nombres, no?

Normalmente lo hace. Depende de quía compañía de antivirus es la primera en descubrir el virus y darle nombre y firma. Si tenemos detección proactiva, simplemente lo llamamos malware, downloader, troyano un nombre generico, porque nosotros no tenemos nombres específicos para cada virus individual

El gusano Conficker ha tenido mucha cobertura en los medios. ¿Por quía este gusano es tan especial? Miles de gusanos aparecen cada día y nadie habla de ellos. ¿Por quía no es el caso de Conficker?

Creo que se basa en el hecho de que Conficker está muy bien diseñado. Es extraño utilizar este termino para hablar de malware pero evidentemente, hay gente muy inteligente detrás de el.

Hemos visto cómo se reforma y se renueva, y aparece en nuevas variantes aún más especializadas e incluso más sofisticadas. Es bueno protegiéndose contra los productos de antivirus. Es bueno escondiéndose, por debajo de los radares, por así decirlo, y es muy bueno utilizando vulnerabilidades en los sistemas operativos para propagarse.
Como creador de software de seguridad usted forma parte de este juego y debe estar contento de la gran cobertura que Conficker está teniendo en los medios, ya que se recuerda a la gente que actualice su software, o, si no, tienen, que deben comprar uno .

No, no nos alegra ver un nuevo malware, aunque apreciamos el enfoque que se está dando a la seguridad. Pero el aumento del nuevo malware es realmente una tremenda amenaza para Internet. Tal y como lo vemos hoy, si no somos capaces de luchar contra hackers y malware, podríamos llegar a tener un sistema de Internet cerrado, con acceso limitado, basado en una fuerte autentificación. Por ejemplo, tendríamos que estar muy seguros de que las personas que acceden a esos sistemas cerrados de Internet son las personas que dicen ser.

El 1 de abril fue un día crucial para este gusano. Ese día hubo un nuevo brote y cundió el pánico entre los medios de comunicación. ¿Fue tan malo como se esperaba?

No, en realidad no pasó nada. Al menos hasta ahora, pero no debemos estar totalmente tranquilos. Algo podría pasar en cualquier momento. El aviso del 1 de abril fue una gran farsa.
La gente de la industria de seguridad tampoco estaba muy segura de lo que iba a pasar. Vimos algunas indicaciones en código y los análisis donde se veía que algo podría pasar ese día. Lo que vimos fue que estaba cambiando su forma de comunicarse con los equipos infectados. Por lo que vimos, usa un servidor especifico que parece comportarse más como un archivo ordinario que comparte infraestructura (lo que llamamos una red P2P).)

¿Entonces, puede haber más ataques? Sí que podría, pero no tenemos ningún análisis de cómo podría hacerlo.
¿Y todavía no sabemos en quía piensa Conficker? ¿Quién está detrás de este maleare? ¿Aún se desconoce?

Se desconoce. Aunque tenemos algunas sospechas, aún no han sido confirmadas por nadie, y el para quía se usará tampoco está claro todavía. Se trata por su puesto de una gran infraestructura que incluye numerosas máquinas. Los números indican que podría haber ya hasta 10 millones de equipos infectados. Esto podría suponer una gran amenaza para el tráfico de masas, causando la caída de servidores Web, > lo que llamamos ataques de denegación de
servicios > o usarlos para enviar spam u otras razones.

¿Quién está detrás de estas amenazas?

Hemos visto Botnets de este tipo que se han usado para grandes ataques de denegación de servicio, afectando a distintos tipos de compañías. Los hemos visto también siendo utilizados en conflictos entre distintas naciones, donde han formado parte de la guerra. En conclusión, se trata de amenazas reales para la infraestructura de red.

Si es cierto lo que leemos en los periódicos, incluso los propios gobiernos están desarrollando sus botnets, Por ejemplo, el Dalai Lama fue víctima de este tipo de amenaza en su propia página Web. Se comentó en su momento que el Gobierno Chino estaba detrás de este ataque. ¿Puede confirmarlo?

No, no puedo, pero tenemos indicios de que así fue. Hemos visto que decenas de países, o mejor dicho, cientos de países estaban involucrados en esto, y fue un ataque especialmente dirigido contra los trabajadores del Dalai Lama y su comunidad. Pero sólo podemos sospechar de unos cuantos < actores > que estaban especialmente interesados en investigar esa comunidad.

¿Entonces se le ocurre alguien más que pudiera hacer esto?
Digamos que no hay muchos sospechosos

¿Es simple coincidencia? ¿Se trata de una amenaza que sucede a menudo o se trata de un caso que no tiene comparación?
En Norman tenemos constancia de otros casos de organizaciones internacionales que también han sido objeto de espionaje, donde alguien está intentando acceder a información confidencial. Pero no puedo entrar en más detalles.

¿Así que es un hecho que ocurre diariamente, o solo ocasionalmente? ¿Puede darnos una pista sobre cada cuánto tiempo suele ocurrir?
No puedo darle una respuesta concreta pero según nuestra experiencia, ocurren de vez en cuando. Cuando estamos involucrados utilizamos nuestra experiencia en el análisis de malware para entender quía es lo que está pasando.
Pero el hecho especial aquí es que el Dalai Lama cuenta con una política abierta que le permite hablar de ello. De otro modo, nadie podría decir que ha sido víctima de un ataque.
Si, eso es cierto. Pocas veces leemos sobre estos hechos en la prensa porque la gente quiere mantener en secreto el hecho de que han sido expuestos a este tipo de amenazas o ataques dirigidos.

¿Hay otros gobiernos, además de China, programando este tipo de virus, troyanos, etc. para recoger información de sus enemigos?
Si, pero no puedo decir más.

Como ciudadano ordinario, no importa si los ataques vienen de la Cibermafia o desde el Gobierno.
Esa es la verdad, no se trata solo de los < chicos malos > Podemos encontrar muchos ejemplos de < chicos buenos > involucrados en estos asuntos.

Norman desarrolla software de seguridad. Diferencia si los ataques vienen de < malos > o < Buenos > o si un troyano proviene del Gobierno o de la Cibermafia?
No. Nuestras soluciones buscar eliminar todo tipo de ataques, vengan de donde vengan.

¿Quía opina usted personalmente del tema?, ¿Es legitimo que los gobiernos utilicen este tipo de medidas? ¿Podemos hablar de < Troyanos del gobierno > o está totalmente en contra de estas amenazas?
Estoy totalmente en contra. Las normas deben ser las mismas para todo el mundo en Internet.
De otra forma, no habrá futuro en esta infraestructura para nosotros. Si no podemos confiar en que todos seremos tratados de la misma manera, o al menos de la mejor forma que conozcamos, no vamos por buen camino.

Ha mencionado antes la Guerra virtual entre Rusia y los Países Bálticos. ¿Puede contarnos algo más sobre eso?

Bien, hemos visto que en algunos conflictos entre naciones ahora se está poniendo en práctica la < ciber >guerra > como parte del juego. Aún cuando no podemos demostrar que los gobiernos están detrás de estos ataques, tenemos nuestras propias ideas sobre el asunto. Vemos cómo han caído servidores de esos estados, debido a ataques de denegación de servicio, por ejemplo, ya que la información es un factor clave en una guerra, por así decirlo. Por lo tanto, el cierre de importantes fuentes de información puede ser muy interesante para ambas partes, o al menos para una de ellas

¿Puede decirnos quién está detrás de estos botnet, troyanos y malware?
En general es muy difícil saberlo, debido a las numerosas investigaciones que se necesitan para descubrir quién está realmente detrás de un malware. Hay varios indicios que apuntan de dónde parte, pero no podemos decir en general quién se esconde detrás. Tenemos varias sospechas y sospechosos, pero no podemos decirlo con seguridad.

¿Pero no podríamos considerar que su trabajo es encontrar a estos tipos y cazarlos, por así decirlo?
No, realmente debemos distinguir entre el trabajo de una compañía de seguridad antivirus, una compañía de seguridad y la policía. Porque nosotros no somos policías. Por supuesto que colaboramos con las autoridades de seguridad y las autoridades nacionales, pero no somos nosotros los encargados de hacer investigaciones policiales.
TECNICAS UTILIZADAS POR CONFICKER
Pero el gusano usa técnicas que ya existen. No inventa nada realmente nuevo. Esto debe chocar a todo el mundo porque no hay medidas preventivas para combatirle.

No, sí hay medidas para combatirlo. Si los usuarios individuales y las compañías están usando los mecanismos de actualización de Norman para Windows, y si tienen un producto proactivo de antivirus de calidad instalado en sus equipos, estarán razonablemente bien protegidos. Pero hay muchas personas que no cuentan con las actualizaciones regulares de Windows o no instalan los últimos parches y tampoco cuenta con una buena solución de antivirus.

¿Quiere decir eso que la pereza de la gente contribuye al éxito del malware?
¡Exacto! Y creo que es algo que vemos muy a menudo La gente, sea por falta de conocimiento o por otras rezones, no suele ser muy Buena parcheando sus sistemas operativos. Pero la base de toda política de seguridad es contra con unos sistemas operativos debidamente parcheados.

Veamos cómo funciona:
1. Aprovechamiento de las vulnerabilidades
Conficker aprovecha la vulnerabilidad en el tratamiento de la llamada a procedimiento remoto (RPC, por sus siglas en ingles) del servicio de servidor para atacar a los equipos sin parches de protección. Eso se consigue utilizando comandos (paquetes http especialmente diseñados) del ordenador atacado para conectarlo a un ordenador vulnerable. A continuación, se inicia el proceso de infección con la descarga y ejecución del gusano, tal como se describe más adelante.

Los ordenadores que han aplicado el parche de seguridad a partir de octubre de 2008 no son vulnerables a este programa intruso. Resulta arriesgado para cualquier organización utilizar un ríagimen de parches de seguridad que no los aplica en el plazo de dos meses a partir de la fecha de su publicación. Por ello, parece razonable concluir que las organizaciones que han resultado infectadas como consecuencia de una vulnerabilidad deberían revisar y mejorar su regimen de parches de seguridad.

Los ordenadores para un único usuario deben instalar Windows Update para descargar (e instalar) parches de seguridad de sistemas operativos tan pronto como estén disponibles. Sólo los equipos que no se configuraron para descargar e instalar automáticamente parches de seguridad se vieron afectados por el programa intruso de RPC utilizado por Conficker.

2. Ejecución de un servidor de Internet
El gusano establece un servidor http (Web) en el equipo atacado, de modo que otros equipos afectados por el programa intruso mencionado puedan conectar con el atacado y descarguen en íal el gusano.

3. Conexión a recursos compartidos ADMIN$
Conficker intenta también propagarse mediante la conexión a recursos compartidos ADMIN$.
Tiene una lista de contraseñas que utiliza para poder acceder a los recursos compartidos. Si lo consigue, se copiará en el recurso compartido y establecerá tareas programadas para ejecutarse diariamente.

4. Las descargas de malware se actualizan automáticamente
El gusano tiene también la capacidad de actualizarse automáticamente mediante la conexión a determinados sitios Web y la descarga de nuevas funcionalidades y actualizaciones.

5. Propagación mediante memorias USB
Otro medio de propagación utilizado por Conficker son las memorias USB infectadas. En cuanto el ordenador infectado detecta que se ha instalado un sistema de almacenamiento externo, el virus salta directamente al dispositivo de modo que infectará el siguiente equipo al que vaya a ser conectado.

6. Comunicación punto a punto:

Algunos análisis indican también que el gusano puede utilizar mecanismos punto a punto para comunicarse con otros equipos infectados. Así, un equipo infectado puede participar en una red de robots

COMO PROTEGERSE
Durante el ultimo año hemos jugado un poco al < ratón y al gato >. Surgió un nuevo virus, una nueva amenaza, se crearon unas medidas para combatirla, y así sucesivamente. ¿Cree que este juego de fuerzas continuará así en el futuro, o cree que es posible que uno de los bandos gane de repente? ¿Triunfarán los malos, porque el malware no podrá controlarse o ganarán los buenos, que encontrarán al final la forma de detenerlo?
Es cierto lo que dices. Se trata del juego del ratón y el gato. Creo que seremos capaces de derrotar al malware y mantener Internet como un espacio seguro para ser utilizado por cualquier. La alternativa es, como mencionaba antes, un sistema cerrado de Internet, lo que no será positivo. Además, hay mucho dinero en juego. El FBI estima que el cibercrimen mueve mucho más dinero que los narcóticos, por ejemplo. Por lo tanto, se trata de un gran trabajo, y
necesitamos para ello la tecnología más sofisticada.

Y existen numerosas recomendaciones para prevenir el Conficker. Aquí van algunas:

Recomendación 1: Actualice sus equipos lo antes posible en cuanto el proveedor de software ponga a disposición un parche de seguridad para un problema. Esto se puede hacer ya sea mediante la configuración de Windows Update para que descargue e instale automáticamente las actualizaciones o de forma manual visitando periódicamente Windows Update en la Web.

Recomendación 2: Impida que accedan a los equipos los protocolos que no se necesitan.
Para ello, se deben establecer reglas del cortafuegos. Esto se puede conseguir en cada uno de los equipos mediante el establecimiento de reglas de cortafuegos locales.

Recomendación 3: Desactive los recursos compartidos ADMIN$ en los equipos. Como algunas aplicaciones pueden depender de ADMIN$, esto debe hacerse con precaución.

Recomendación 4: Obligue a un ríagimen con una contraseña segura para los usuarios de la organización.

Recomendación 5: Permita el acceso en el cortafuegos (de empresa o personal) sólo a los sitios Web aprobados.

Recomendación 6: Prohíba el uso de memorias USB en la empresa

Recomendación 7: En la organización, permita sólo el uso de determinadas memorias USB predefinidas.

Recomendación 8: Deshabilite el mecanismo de ejecución automática de Windows para las memorias USB.

Recomendación 9 (igual que la 2): Permita el acceso sólo a los protocolos que se necesiten.
Esto puede conseguirse tanto a nivel del cortafuegos de empresa como en cada uno de los equipos.

Otras recomendaciones que pueden impedir que malware similar infecte la red
Puede utilizarse LAN virtual (VLAN) para crear segmentos < virtuales > en una red física. La ventaja en un escenario como el descrito en este artículo es que los equipos de una red VLAN no se pueden comunicar con equipos de otra red VLAN. Ello supone que se bloqueará de forma eficaz la propagación de un gusano de red entre varios segmentos virtuales, aunque los equipos estén en el mismo segmento físico.

¿Y si aún así me he infectado?
Aunque todos los clientes que utilizan soluciones antivirus de Norman están protegidos contra W32/Conficker AD, aquí os muestro algunas soluciones para usuarios infectados:

Usar Norman Malware Cleaner
Para eliminar el gusano y sus componentes maliciosos, se recomienda utilizar Norman Malware Cleaner
Norman Malware Cleaner es un programa de Noman que detecta y elimina software malintencionado.
Este programa no debe utilizarse como sustituto del antivirus, sino como herramienta reactiva para < limpiar > sistemas ya infectados.

Norman Malware Cleaner puede descargarse gratuitamente desde la página de norman:
http://www.norman.com/Virus/Virus_removal_tools/24789/es

Una vez realizada la descarga y ejecutado el limpiador, el sistema se limpia por completo:
>¢ Quitando procesos que están infectados.
>¢ Eliminando las infecciones de disco (incluidos los componentes ActiveX y objetos de
ayuda de navegador)
>¢ Mostrando y eliminando rootkits
>¢ Restaurando los valores correctos de Registro
>¢ Eliminando las referencias creadas por el malware en el archivo hosts
>¢ Eliminando ventanas de las reglas del Firewall para malware.

Instalar las actualizaciones de Windows
Existen actualizaciones disponibles para solventar las vulnerabilidades de Windows, a travías de las actualizaciones automáticas. Si no, se pueden descargar las actualizaciones desde http://windowsupdate.microsoft.com.
Norman aconseja a todos los usuarios afectados la descarga de las actualizaciones de seguridad tan pronto como sea posible, para estar protegidos.

Revisar el estado de los productos de seguridad

Comprobar que nuestro equipo cuenta con un antivirus y un antispyware actualizado y seguro

Más información sobre Conficker en:
En la página web de Norman, encontrarás esta y otras noticias sobre seguridad y más información sobre esta amenaza en:
http://www.norman.com/Virus/Virus_descriptions/54793/es?show=default