Conficker vuelve a la carga

Pablo Fernández,

Una semana después de lo esperado, los ordenadores infectados por el gusano están recibiendo nuevo código a través de conexiones P2P entre ellos.

Las mentes creadoras del gusano más extendido de los últimos tiempos están realizando su último movimiento, justo una semana después de cuando se esperaba.

La compañía especializada en seguridad Trend Micro ha indicado que los ordenadores infectados están recibiendo una nueva carga de código a través de conexiones P2P, es decir, una infección distribuida que se expande entre los propios equipos.

Trend Micro está detectando esta actualización como WORM_DOWNAD.E.

“Básicamente el componente se está descargando vía Peer To Peer en forma de ‘dropper’(una secuencia diseñada para instalar malware en el PC de tal forma que no sea detectado) y que está esperando otro componente más para llevar a cabo el ataque final. En estos momentos nos encontramos en fase de análisis”, ha indicado Paul Ferguson, investigador de amenazas avanzadas en Trend Micro.

worm_.jpg

“Parece disponer de algún tipo de funcionalidad ‘rootkit’ (procesos que esconden la ejecución de programas), pero no podemos ir por el momento más allá, debido a que no disponemos de la información suficiente”.

Este componente parece tener ya una fecha para dejar de transferirse, el 3 de mayo, día que comenzará a conectarse con los siguientes sitios: MySpace.com, MSN.com, eBay.com, CNN.com y AOL.com. Lo hará de forma aleatoria pero simplemente para saber con exactitud si la conexión a Internet está activa, así como para conocer la fecha y hora correcta. En ese momento parece que el gusano comenzará a descargar ese segundo componente.

Existe la evidencia de que la última actualización de Conficker está ligada a la familia de malware denominada Waledac, un ejército de ordenadores o ‘botnet’ relacionados con distintas campañas de spam desde finales de 2008.

Los investigadores de Trend Micro detectaron por primera vez este componente la noche del 7 de abril, cuando apareció un fichero sin identificar en la carpeta temporal de Windows, la cual estaba siendo monitorizada.

Asimismo, detectaron una respuesta encriptada a través del protocolo TCP que redireccionaba a una IP coreana mediante técnicas de P2P.

Recordamos que existen diversos métodos para ayudar a eliminar el gusano Conficker de los ordenadores.