Los que esteis más metidos en el tema de la seguridad ya habreis oido sobre el “bicho” de moda ultimamente, llamado Conficker o Downadup.

Hasta ahora no hace “nada”, aparte de propagarse y protegerse a sí mismo, pero con la última variante conocida, la “C” esto podría cambiar el día 1 de abril. Se estima que entre 5 y 10 millones de máquinas podrían estar infectadas en el mundo.

Aquí podeis encontrar algo de información técnica. Este bicho es bastante sofisticado (y seguramente “de encargo” con bastante pasta de por medio). Aquí hay información técnica y análisis de Downadup y su variante C por parte de SRI International.

Utiliza varios mecanismos de propagación:

• Vulnerabilidad de Windows Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability (variantes A y B)
• Funcionalidad Autorun y Autoplay en discos externos USB, cámaras, reproductores MP3, etc. (variante B)
• Intento de adivinar contraseñas de la máquina atacada mediante diccionario de contraseñas “típicas” (variante B)

Aparentemente la variante “C” no tiene mecanismos propios de propagación, sino que es una “actualización” de las infecciones de la variante “B”.

Algunas de las cosas interesantes que hace son:

• Utiliza geolocalización para intentar adivinar el idioma del sistema operativo a partir de la IP pública.
• Utiliza Universal Plug and Play (UPnP) para permitir conexiones entrantes a nuestro PC desde Internet si nuestro router lo permite.
• Utiliza métodos de actualización y “command and control” basados en protocolos peer-to-peer y mediante generación de cientos de URLs aleatorias (basándose en la fecha) para conectarse a páginas que podrían contener actualizaciones (¡firmadas con certificado digital!) o comandos a ejecutar en la máquina infectada.

Algunas recomendaciones para evitar infecciones de las variantes conocidas:

• Todas las máquinas Windows deben estar parcheadas con el MS08-067
• Deshabilitar funcionalidad de Autorun.inf en todas las máquinas (no sirve para nada realmente)
• Usar contraseñas “fuertes” para todos los usuarios de la máquina. No sólo para los usuarios utilizados para logon, sino cualquier usuario local o de dominio (incluyendo cuentas de usuario usadas para servicios o aplicaciones)
• Deshabilitar servicio de Tareas Programadas en todas las máquinas que no lo necesiten (que serán la mayoría)
• Si es posible, no hacer logon con usuario que sea Domain Administrator en una máquina infectada (o que se sospeche que lo está)
• Un buen antivirus funcionando y con las actualizaciones al día.
• Si el producto de seguridad que useis tiene funcionalidad de firewall (tcp/445 entrante) o IPS, tanto mejor.
  

Si una máquina está infectada, es recomendable utilizar herramientas de limpieza específicas como la de Symantec o la de Microsoft (o de cualquier otro proveedor fiable).

Estaremos al tanto de los acontecimientos cuando empiece a ser 1 de abril en el otro lado del mundo…