Conficker tiene un mellizo malvado

Los criminales tras el ampliamente difundido gusano Conficker han liberado una nueva versión del malware que puede señalar un cambio mayor en la forma como opera el gusano.

La nueva variante denominada Conficker B++, fue señalada hace tres días por los investigadores de SRI International, quienes publicaron el jueves los detalles del nuevo código. Para el ojo no entrenado, la nueva variante parece casi idéntica a la versión previa del gusano, Conficker B. Pero la variante B++ usa nuevas técnicas para descargar software, dándole a sus creadores mayor flexibilidad en lo que pueden hacer con las máquina infectadas.

Las máquina infectadas con Conficker pueden ser usadas para cosas antipáticas – enviar spam, registro de teclado o lanzar ataques de denegación de servicio (DoS), pero un grupo ad hoc autodenominado el Conficker Cabal ha impedido en gran parte que suceda esto. Han mantenido el Conficker bajo control quebrando los algoritmos que usa el software para hallar uno de los miles de puntos de encuentro en la Internet donde podría buscar nuevo código. Estos puntos de encuentro usan nombres de dominio únicos, tales como pwulrrog.org, que el Conficker Cabal ha logrado hacer difícil registrar y que caigan en manos de los criminales.

Contenido Relacionado

La nueva variante B++ usa el mismo algoritmo para buscar los puntos de encuentro, pero también les da a sus creadores dos técnicas nuevas que los saltean completamente. Eso significa que la técnica tan exitosa del Cabal puede ser sobrepasada.

El Conficker sufrió una modificación importante en Diciembre, cuando la variante B fue liberada. Pero esta última versión B++ incluye más cambios sutiles, según Phil Porras, un director de programa de SRI. "Este es el conjunto de cambios más quirúrgicos que han hecho” dijo.

Para poner las cosas en perspectiva: Había 297 subrutinas en el Conficker B; 39 rutinas nuevas se agregaron en la B++ y tres rutinas existentes fueron modificadas, describe en un informe SRI respecto de la nueva variante. B++ sugiere "los autores del malware pueden estar buscando nuevas formas de obviar por completo los puntos de encuentro en Internet," afirma el informe.

Porras no puede decir durante cuanto tiempo ha estado el circulando el Conficker B++, pero apareció el 6 de febrero, según un informe de un investigador con el seudónimo de Jart Armin, quien trabajó en el sitio web Hostexploit.com, el cual ha rastreado el Conficker.

Aunque no sabe si el B++ fue creado en respuesta al trabajo del grupo Cabal, "este hace más robusta a la red bot y mitiga parte del trabajo del grupo Cabal," dijo Rick Wesson, el CEO de Support Intelligence en una entrevista por correo electrónico.

También conocido como Downadup, el Conficker se propaga utilizando una variedad de técnicas. Explota la peligrosa falla de Windows para atacar las computadoras en una red LAN, y también se puede propagar mediante dispositivos de almacenamientos USB tales como cámaras y otros. Todas las variantes del Conficker han infectado hasta ahora cerca de 10,5 millones de computadora, según SRI.

Traducido para blog de Segu-Info por Raúl Batista

Autor: Robert McMillan
Fuente: Network World

Suscríbete a nuestro Boletín