En primer lugar, ¿Qué es Conficker?

Fuente [+]

Nombre común: Conficker.A
Nombre técnico: W32/Conficker.A.worm
Peligrosidad: Baja
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar el falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección: 22/11/2008
Detección actualizada: 27/11/2008
Estadísticas Si
Descripción Breve
Conficker.A es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Mediante la explotación de esta vulnerabilidad, Conficker.A consigue descargar el falso antimalware detectado como Adware/AntiVirus2009 en el ordenador afectado.

Conficker.A se propaga explotando la vulnerabilidad MS08-067. Para ello, ataca ciertas direcciones IP en las que intenta introducir una copia de sí mismo.

Efectos
Conficker.A está diseñado para descargar un falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Metodo de Infección
Conficker crea una DLL (Librería de Enlace Dinámico) de nombre aleatorio en el directorio de sistema de Windows.

Conficker.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ netsvcs\ Parameters
ServiceDll = %sysdir%\%nombre aleatorio%.dll
dondee %sysdir% es el directorio de sistema de Windows.
Método de Propagación
Conficker.A se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:

Se conecta a las siguientes páginas web para obtener direcciones IP:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Después, escanea las direcciones IP que ha recopilado en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.
Otros Detalles

Conficker tiene un tamaño de 62976 Bytes y está comprimido mediante UPX.

Además, intenta descargarse los archivos GEOIP.DAT.GZ y GEOIP.DAT de la siguiente página web:

http://www.maxmind.com

Estos archivos no son maliciosos, sino que se trata de un programa que localiza direcciones IP en el mundo. Conficker.A utiliza este programa para obtener información del punto geográfico de las direcciones IP a las que ataca..

¿qué podemos hacer los usuarios comunes?. En primer lugar, asegurarnos de que tenemos actualizado nuestro Windows. ¿Cómo podemos hacerlo?.

http://www.microsoft.com/technet/securi … 8-067.mspx

En esa página podemos descargar el parche que soluciona la propagación por Internet. No podemos olvidar actualizar nuestro antivirus.

Si queremos averiguar más a cerca de conficker [+]

Es realmente importante llevar cuidado con los Pendrives ya que como el texto citado dice, es uno de los medio de propagación,  y siempre llevar cuidado de nunca utilizar la ejecución automática de Windows, pues es el modo de ejecutar el virus.

Personalmente creo que este gusano no va a hacer nada a parte de generar desconcierto en las empresas y provocar que el rendimiento laboral hoy se hunda (es lo que está pasando en mi empresa, en la cual están teniendo problemas con el dichoso gusanito).

Nota: cuando os descargueis los parches de la página de Microsoft, veréis que son en Inglés y no os dejará instalarlos, pues bien para descargar ls version española solo tenéis que cambiar en la URL de la descarga, donde pone EN por ES.

Si no conseguís descargarlos me lo decís y los cuelgo.

Estadísticas de infecciones por paisas (29/03/2009)

Estadísticas de infecciones por paisas (29/03/2009)

Saludos a todos.

Publicaciones que puede que te interesen

The following two tabs change content below.
Creador y Administrador de isytec.net. Como amante de las tecnologías que soy disfruto conociendolas, probandolas y lo que más me gusta es contaros mi opinión por si os ayuda en algo. Espero que disfrutéis tanto de isytec.net como yo. :)