Conficker: El troyano mutable que puede acabar con el imperio Microsoft

CIUDAD DE BUENOS AIRES (Urgente24) - Sophos, una empresa de seguridad informática publicó que un 11% de los usuarios de PC aún no actualizó su sistema con el parche de Microsoft (MS08/067) para corregir la vulnerabilidad que permite al gusano instalarse en una computadora. El porcentaje mencionado por Sophos surge de una campaña iniciada en enero mediante la cual se pedía a los usuarios utilizar el Sophos Endpoint Assessment Test (Test de Evaluación de Punto Final), herramienta gratuita para escanear una computadora para conocer si el sistema está en riesgo o no. Esta herramienta evalúa el Service Pack que tiene instalado el sistema, los parches de seguridad instalados y si se posee algún firewall en funcionamiento. Luego de tres meses de análisis, Sophos encontró que casi un 11% de los sistemas estaba desprotegido frente a Conficker. De cualquier manera, se cree que el número podría ser mucho mayor, dada la velocidad de expansión del gusano y, sobre todo, la desactualización de numerosos equipos que no gozan de licencia ni actualizaciones online. Scott Lewis, encargado de evaluar el proyecto desde Sophos, dijo que "a pesar de la cobertura informativa y de que el parche está disponible desde octubre, las reacciones de los usuarios no fueron las esperadas". La pregunta entonces es por qué los usuarios no han actualizado Windows y la respuesta probablemente se encuentre en un declive cada vez más notorio de la empresa. Numerosas noticias publicadas en este sitio han dado cuenta una y otra vez de los malos funcionamientos de Microsoft, desde las caídas sufridas en los últimos tiempos por los servidores de Hotmail hasta el fracaso estrepitoso del Windows Vista o el fracasado plan de los de Redmond de adquirir Yahoo!. Aparentemente, la posibilidad de que un simple bug en Windows permita la que la propia computadora se vuelva un zombie al servicio de un tercero, causa recelo entre los usuarios y seguramente contribuirá a mellar el poderío de Microsoft de cara al lanzamiento del Windows 7. Según los datos recogidos por el Conficker Working Group, Conficker ha salpicado a unos 4,6 millones de direcciones IP únicas. Sus primeras variantes, A y B, tienen la parte del león, con 3,4 millones de direcciones IP, mientras que Conficker.C acapara 1,2 millones de direcciones. Los países con mayor número de infecciones de todas las variantes son China, Brasil y Rusia. Para complicar aún más la cosa, una nueva variante de Conficker ha visto la luz en los últimos días, y ésta utiliza técnicas peer-to-peer, que no son tan fácilmente medibles por el sistema de servidores del Working Group. Esto significa que el grupo probablemente necesitará desarrollar un nuevo modo de contabilizar las infecciones a medida que esta última variante se extienda. El virus que se contagia con sólo estar conectado a Internet Conficker, también conocido como Downup, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows. El gusano explota una vulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, y el beta de Windows 7. Fue bastante extendida la etimología del nombre del virus como un calambur alemán, ya que "conficker" se pronuncia en alemán como la palabra inglesa "configure" (configuración), y la palabra alemana ficker es un equivalente obsceno de la palabra castellana "joder", por lo que conficker sería como programa que estropea la configuración, aunque en un sitio de Microsoft se explica que el nombre proviene de seleccionar partes del un dominio trafficconverter.biz que aparece en su código: El virus se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo. En otras palabras, este troyano puede infectar una computadora por el sólo hecho de que ésta esté conectada a Internet. Cuando ha infectado una computadora, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima. El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe. El 13 de febrero de 2009 Microsoft ofreció una recompensa de US$250,000 a quien entregara información que llevara al arresto y encarcelamiento de los criminales tras la creación del virus, el miércoles 15 de abril de 2009, se ha localizado el pc cero en Palau-solità i Plegamans. El virus había contagiado el 6% de las computadoras del mundo para marzo de 2009, un 8% en América latina, y en Argentina llegó al 25% de todo el malware propagado durante enero. Sin embargo, y aunque existen variantes que son capaces de crear 50.000 URL falsas para propagarse, el número de contagiados comenzó a decrecer. Investigadores de la Universidad de Michigan comenzaron una investigación en marzo de 2009 para descubrir al caso cero, el primer infectado con el virus, usando sensores darknet, e intentar localizar a sus creadores. El 26 de marzo se anunció un posible ataque masivo para el 1 de abril de 2009, el día de los inocentes estadounidense, que no ocurrió, aunque aparecieron versiones modificadas del virus con mejores defensas. El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que corrige la vulnerabilidad de la que se aprovecha el virus. Existen herramientas de eliminación de Microsoft, ESET, Panda Security, Symantec, Kaspersky Lab, TrendMicro, de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.