Que pasara mañana con el virus Conficker?

 

conficker-450x324

Se acerca el 1 de abril y el tema de conversacion de las personas al tanto de la seguridad de la informacion es el ya conocido y esperado virus Conficker, un gusano que se ha considerado una de las infecciones que más se ha propagado en los años recientes. Algunas estimaciones calculan que se han infectado más de 10 millones de computadoras, de acuerdo con la firma de antivirus Websense.

Websense dijo que se ha especulado mucho sobre lo que sucederá el 1 de abril, una fecha especial que se ha codificado en la variante más reciente del archivo binario del gusano. La comunidad de internet tiene suerte de que se haya realizado una investigación muy buena sobre las diferentes variantes del gusano: A, B, B++ y C.

¿Qué sucederá el 1 de abril? Esta fecha está codificada en las variantes Conficker.C y es por eso que ha llamado mucho la atención. En esa fecha, Conficker va a actualizar su algoritmo de generación de dominios para 50 mil dominios al día y tratará de acceder a 500 de esos una vez al día.

Esta es una de las contramedidas y protecciones que los autores del gusano introdujeron a los exitosos esfuerzos del grupo Cabal para detener el registro de 250 dominios a los que las variantes anteriores (A, B y B++) tratan de acceder cada día. Este cambio, que comienza el 1 de abril de 2009, sólo afectará a las máquinas ya infectadas.

También significa que las variantes ConfickerC en esas máquinas generarán una lista de 50 mil dominios al día. El gusano intentará y accederá a 500 de esos dominios. Sólo la gente detrás de Conficker sabe qué dominios realmente van a registrar y activar.

De hecho, podrían registrar sólo un dominio al día pero cuando lo hagan – si no son interrumpidos una vez más por el Cabal Group – las máquinas infectadas tratarán de tener acceso a esos dominios, obteniendo potencialmente actualizaciones para hacer algo – potencialmente. No necesariamente significa que el gusano va a hacer algo malo ese día pues todo depende de si estará disponible una actualización que pueda descargar el gusano.

Además, las variantes más recientes están equipadas con un mecanismo de P2P, de modo que las órdenes pueden haberse ya transmitido a los bots.

Las recomendaciones de las casas de seguridad para estar fuera del peligro de este virus son:

1. Actualizar los equipos windows con la actualizacion MS08-067 http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

2. Utilizar politicas de contraseñas complejas

3. Mantener actualizado el software anitivirus

4. Deshabilitar el Autorun.ini en las maquinas.