Un nuevo virus informático afecta a 3,5 millones de ordenadores en todo el mundo.

Valencia, 19/01/2009, Fuente: serviciohelpdesk.com
El gusano, de nombre Conficker, Downadup o Kido, puede propagarse aprovechando vulnerabilidades en redes de baja seguridad y dispositivos de traspaso de información como llaves USB. La vulnerabilidad se soluciona mediante la actualización MS08-067 liberada por el fabricante en Octubre de 2008.
Según Microsoft, el virus aprovecha el proceso "services.exe" para copiarse a sí mismo al sistema de archivos en forma de archivo .dll. Una vez realizado esto, el gusano crea un servidor HTTP y modifica el punto de restauración del sistema (haciendo más difícil recuperarse de la infección) y entonces intenta descargar software espía desde Internet.
La mayoría de los programas dañinos utiliza uno de los pocos sitios desde los que puede descargar ficheros, haciendo que sean fáciles de localizar, pero Conficker funciona de manera diferente. Según la firma de antivirus F-Secure, el gusano utiliza un complicado algoritmo para generar cientos de nombres de dominios diferentes cada día, tales como mphtfrxs.net, imctaef.cc y hcweu.org. De esta forma, rastrear el virus es imposible ya que tan solo uno (o unos) de entre todos estos sitios aleatorios será en realidad el sitio correcto.
En cualquier caso, los técnicos han logrado revertir el gusano, de manera que pueden predecir alguno de los posibles nombres de los dominios. Ello no ayuda a averiguar quiénes son los responsables de la creación, pero al menos les permite saber cuantas máquinas están infectadas. "Estamos viendo cómo cientos de miles de direcciones IP únicas se conectan a los dominios que hemos registrado", dijo en un comunicado Tony Kovunen, de la compañía F-Secure. Según le dijo a la BBC Eddy Willems, analista de seguridad de la firma Kaspersky Lab, una nueva cepa del virus está complicando la situación. "Apareció hace menos de dos semanas y es la que está causando la mayor parte de los problemas", explicó Willems.
El virus puede causarnos problemas de varios tipos, dependiendo de nuestra situación. Si somos un usuario doméstico, puede ocasionarnos problemas con la navegación en Internet así como la restauración de sistema. Si estamos en un entorno empresarial con una red Active Directory, los ataques de fuerza bruta pueden ocasionar que las cuentas de usuario comiencen a bloquearse, provocando que algunos servicios que se prestan a los usuarios queden inhabilitados.

En cuanto a los métodos de propagación, esta es la información que hemos recibido de Microsoft:
- Ataque de fuerza bruta contra recursos de red y recursos administrativos que usen contraseñas débiles.
- Se copia a sí mismo a unidades de red (que pueden infectar a otros equipos al acceder) y unidades extraíbles tipo USB, modificando el Autorun.inf.
- Intentará también crear una tarea programada que pueda volver a auto-infectar el equipo tras la desinfección
- Podría usar las credenciales del usuario validado en Windows para acceder a otros equipos de la red.

La vulnerabilidad se remedia medienta la actualización MS08-067. Esto pone de manifiesto una vez más la enorme importancia de mantener nuestros sistemas actualizados, a medida que el fabricante va liberando las actualizaciones de seguridad. El proceso de desinfección, una vez detectada úna máquina infectada, pasaría por realizar los siguientes pasos:

- Deshabilitar el servicio "Servidor" para evitar la re-infección
- Deshabilitar también los servicios de Windows Update y BITS (Transferencia inteligente en segundo plano)
- Reiniciar la máquina y aplicar la actualización MS08-067
- Cambiar las contraseñas que sea posible (en especial la de administrador) y establecer contraseñas complejas
- Ejecutar scan del equipo con un software antivirus actualizado.

Más información sobre el virus:
CA Virus Information Center - Conficker A
CA Virus Information Center - Conficker B
Symantec Security - Downadup B

Boletín de seguridad de Microsoft:
Boletín de seguridad de Microsoft MS08-067 – Crítico