Gusano Informático Conficker, Downadup o Kido
El gusano informático que se propaga a través de las redes de baja seguridad,
memorias USB y computadores personales que no cuentan con las últimas
actualizaciones de seguridad.
El programa dañino, conocido con los nombres de Conficker, Downadup o Kido, fue descubierto por
primera vez en octubre de 2008.
Se estima que ya hay 8,9 millones de computadores infectados en todo el mundo.
Se prevee que las cifras podrían aumentar y se aconseja a los usuarios a actualizar su antivirus Eset Nod32 y Eset Smart Security, ya que es el único antivirus por el momento que es capas de detectarlo en su motor de tiempo real y detener la infección y propagación, sin embargo es vital que todos los usuarios
instalen el "parche" de Microsoft MS08-067.
La magnitud del contagio de este gusano no se ha visto en mucho tiempo.
"Microsoft hizo una buena labor actualizando los computadores personales, pero el virus continúa infectando a las empresas que no han instalado el parche" y que cuentan con contraseñas vulnerables, como 12345 y el virus las puede descifrar rápidamente".
El virus se puede propagar a través de las memorias USB, aunque se aplique el parche de Windows, no hay seguridad, deben de mantener el antivirus actualizado a la ultima versión 3.068; así como tener activadas las opciones de configuración de los productos al máximo, principalmente en el motor
de tiempo real (Real-Time file system protection) y el motor de proteccion de Internet (Web access protection).

Método

El gusano informático funciona buscando un fichero ejecutable de Windows llamado "services.exe" y pasa formar parte de ese código.
Entonces se copia a sí mismo en el sistema de ficheros de Windows como un fichero más del tipo conocido como "dll". Se da a sí mismo un nombre de entre 5 y 8 caracteres, y modifica el registro, que enumera configuraciones clave de Windows para poner en funcionamiento el fichero infectado dll como un servicio.
Una vez está en marcha, el gusano crea un servidor HTTP, cambia el punto de restauración del sistema del computador (haciendo más difícil recuperar el sistema infectado) y entonces descarga ficheros del sitio de internet del pirata informático.

La mayoría de los programas dañinos utiliza uno de los pocos sitios desde los que puede descargar ficheros, haciendo que sean fáciles de localizar y cerrar.
Pero Conficker funciona de manera diferente.
El gusano utiliza un complicado algoritmo para generar cientos de nombres de dominios diferentes cada día, tales como mphtfrxs.net, imctaef.cc y hcweu.org.
Tan sólo uno de estos será de hecho el sitio utilizado para bajar los ficheros del pirata.
Ante ello, será imposible rastrear ese sitio.

Variante.

Existe una nueva cepa del virus está complicando la situación, Apareció hace menos de dos semanas y es la que está causando la mayor parte de los problemas. Lo métodos que utiliza para replicarse son bastante buenos. Además, usa múltiples mecanismos, incluyendo memorias USB, con lo que puede pasar
de un computador a otro a través de esas memorias portátiles".
El problema es que la gente no ha protegido sus computadores. Si utilizaran los "parches" de seguridad no tendrían que preocuparse.
Hemos logrado revertir el gusano, de manera que pueden predecir alguno de los posibles nombres de los dominios; sin embargo, Ello no ayuda a averiguar quiénes son los responsables de la creación de Downadup, pero al menos les permite saber cuantas máquinas están infectadas.
Según nuestros reportes el Gusano ha infectado computadores en muchas partes del mundo, siendo China,Brasil, Rusia e India los países con el mayor número de máquinas infectadas.
Para cualquier duda, aclaración o problema de infección, contacte con cualquiera de nuestras oficinas regionales o a través de nuestra lada nacional 01 800 USALAPS (8725277)

Jose Carlos Mena Navarro     
Consultor TI