El nuevo Conficker ya no se conecta a dominios
Elino Mills de CNET informa que los investigadores están analizando el código del software que está siendo descargado en las máquinas infectadas y sospechan que es un grabador de teclado (keylogger) o algun otro programa diseñado para robar información de la máquina.
El software parece ser un componente .sys escondido tras un rootkit, el cual es un software que es diseñado para ocultar el hecho que la máquina ha sido comprometida, según dice Trend Micro. El software está fuertemente cifrado, lo que hace difícil el análisis de su código, dijeron los investigadores.
Apenas ayer, el Blogger de Zero Day Dancho Danchev, señalo que un imitador del Conficker ya estaba dando vueltas.
Según un post en el blog de Malware de TrendLabs, el gusano que despertó intenta conectarse con MySpace.com, MSN.com, eBay.com, CNN.com y AOL.com como una forma de comprobar que la computadora tiene conectividad a Internet. Luego elimina todos los rastros de sí mismo en la máquina y se programa para apagarse el 3 de Mayo.
Mill informa:
Debido a que las computadoras infectadas están recibiendo el nuevo componente de forma escalonada en lugar de todos a la vez, no habrá interrupción de los sitios Web que la computadora visite, dijo Paul Ferguson, un investigador de amenazas avanzadas de Trend Micro.
“Después del 3 de Mayo, se apaga y no realiza ninguna replicación,” dijo Perry. Sin embargo, las computadoras infectadas podrían seguir siendo controladas remotamente para hacer algo más, agregó.
El desarrollo fue encontrado cuando los investigadores de Trend Micro notaron un nuevo archivo en la carpeta Temp de Windows y una gran respuesta TCP cifrada de un conocido nodo IP de P2P del Conficker alojado en Korea:
Se puede resumir dos cosas de lo eventos sucedidos:
1. Como se esperaba, las comunicaciones P2P de la botnet Conficker/Downadup pueden haberse usado solo para una actualización, y no via http. Las comunicaciones P2P Conficker/Downadup estan funcionando a pleno.
2. ¿Conexión Conficker-Waledac? Es posible, pero aun hay que profundizar en esto. Esta información no está confirmada.
En cuanto al segundo punto, los investigadores dicen que el gusano intenta acceder a un dominio conocido de Waledac y descargar otro archivo cifrado, pero aun están intentando examinar la conexión.
Conficker ya no se conecta a los 50.000 dominios
La nueva variante de Conficker, detectada el pasado 7 de abril, ya no utilizada los 50.000 dominios para conectarse sino que lo hace solamente con su propia red Peer-To-Peer (una Botnet de miles de equipos infectados) a través de dos componentes.
El componente servidor se encarga de infectar nuevos sistema que todavía no hayan parcheado al vulnerabilidad MS08-067 e instala el componente cliente que se convierte en parte de la botnet.
Quizás lo más interesante de esta versión es que el componente servidor se desactivará el próximo 3 de mayo, aunque la parte del cliente continuará activa. Seguramente la prensa aprovechará de nuevo esta fecha para exagerar las noticias.
Como podemos ver Conficker ya se ha comenzando a comportar como una botnet común y los objetivos de sus autores van quedando más a descubierto.
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Andrew Nusca
Fuentes: Blogs ZDNet, CNN, ESET y ESET Latinoamérica
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!