El virus tipo gusano "Downadup" o "Conficker", utiliza una falla del sistema operativo Windows de Microsoft para infectar principalmente computadoras corporativas y controlarlas desde otro lugar.
La falla no es nueva y Microsoft emitió en octubre pasado un parche para solucionarla, pero más de la tercera parte de los usuarios de ese sistema operativo no instalan las actualizaciones y eso es aprovechado por los creadores del virus.
La firma de seguridad computacional F-Secure Corp., calificó la magnitud del ataque como "sorprendente" al estimar este viernes que hasta ocho millones de computadoras que utilizan Windows han sido infectadas en la última semana.
"El martes eran 2.5 millones, el miércoles 3.5 millones y hoy (viernes), ocho millones", dijo Mikko Hypponen, director de
investigación de F-Secure, a la cadena de televisión CNN.
"Tenemos grandes infecciones en Europa, Estados Unidos y en Asia. Es un virus gusano para Windows, y en casi todos los casos las infecciones han sido en redes corporativas", añadió.
"Hay muy pocos reportes de computadoras independientes residenciales afectadas", precisó.
A diferencia de otros, el virus no se difunde por correo electrónico o páginas de internet, sino por redes corporativas.
La infección se ha estado transmitiendo entre las redes ante el cada vez mayor uso de las "memorias flash" para pasar datos de una computadora a otra.
El propósito del virus no está aún claro para los especialistas, pero ha sido diseñado para "llamar a casa" desde la computadora infectada, de manera que esta pueda ser controlada y sus datos extraídos.
Hypponen dijo que este virus es uno de las más serios en cuanto a tipo de gusano que se ha visto en los últimos años, ante la magnitud de su distribución.
Sin embargo, afirmó que el virus no es muy peligroso en términos de lo que hace, dado que hasta ahora no ha sido manipulado para extraer información.
Hypponen advirtió sin embargo que mientras su propósito no está aún claro, su diseño de "llamar a casa", comunicándose con el punto de origen, significa que puede recibir órdenes en el futuro para hacer daño.
Dijo que su compañía ha buscado descifrar el virus con "ingeniería en reversa" y sospecha que este se ha originado en Ucrania.
El especialista afirmó que el virus es "un gusano complicado", y que probablemente fue diseñado por un grupo de personas que debieron haber invertido tiempo en hacerlo, dado que es sumamente difícil analizarlo y removerlo. (Con información de Notimex/GCE)
Vía elfinanciero
W32/Downadup
Infecta a Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
- http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded
Una vez ingresado al sistema se copia a la siguiente ruta:
%System%\[nombre_aleatorio].dll
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
"ServiceDll" = "[Ruta_al_gusano]"
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:
Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs
Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:
http://trafficconverter.biz/4vir/antispyware/[Removido]
El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envia esa dirección a sistemas remotos.
Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.
Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.
El gusano intenta descargar un archivo de datos desde el siguiente URL:
http://www.maxmind.com/download/geoip/database/Geo[Censurado]
Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:
- http://www.w3.org
- http://www.ask.com
- http://www.msn.com
- http://www.yahoo.com
- http://www.google.com
- http://www.baidu.com
La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.
Para mayor información y descarga del parche correspondiente visite:
PER ANTIVIRUS® versión X7 con registro de virus al 24 de Noviembre del 2008 detecta y elimina este gusano.
Vía perantivirus
No hay comentarios.:
Publicar un comentario
Déjanos tu comentario, nos permitirá mejorar.
¿Qué opinas de este tema?
¿Tienes alguna duda o sugerencia?
¿Te parece adecuado y completo este tema?
¿Falta información? ¿Cual?