Español | English
rss facebook linkedin Twitter

Conficker.C más peligroso que los anteriores

Desde el pasado Jueves 5 de Marzo, en S21sec estamos trabajando 24 horas al día de forma literal, para paliar los efectos de Conficker.C, la nueva variante más agresiva del gusano, que no ha empezado a ser detectada por la mayoría de las casas antivirus hasta el día de ayer. En esta ocasión, la rápida actuación del equipo 24x7 de S21sec creando una vacuna de esta nueva mutación y desplegando la vacuna en todos los equipos gracias a Bitacora Horizon pudo contener esta amenaza (que había paralizado varios procesos de negocio) en un tiempo récord.

Hemos hablado en varias ocasiones del gusano Conficker, que está afectando a pequeñas, medianas y grandes empresas de forma bastante dañina en sus procesos de negocio (comparable a las secuelas de Blaster en el verano de 2003) y a día de hoy con esta nueva variante se demuestra, una vez más, la profesionalización de las personas que están detras de esta amenaza.

Esta mutación contiene multitud de protecciones para hacer más difícil el análisis, desde las típicas protecciones anti-debugging clásicas, a comprobaciones más avanzadas para intentar ser analizado mediante ingenieria inversa. Además, cuando se encuentra en ejecución en una máquina infectada, elimina cualquier proceso que se inicie en el sistema que pudiera afectar o perjudicar su ejecución (como ejemplos los procesos que comenta Symantec, pero en la práctica cualquier nuevo wizard de instalación o cualquier herramienta que le "moleste").

Desde el punto de vista técnico, esta nueva variante funciona de forma parecida, creando un servicio en la máquina infectada con nombre aleatorio (en minúsculas y de seis caracteres), copiando el nombre y descripción del servicio de algún servicio de la máquina para pasar desapercibido, y enganchando el servicio bajo Netsvc (svchost.exe) utilizando para ello una librería que reside en C:\Windows\System32 con los atributos necesarios para que esté de forma oculta (simplemente atributos del sistema operativo, sin utilizar ningún tipo de rootkit).

Una forma sencilla de detectar cuál es el servicio malicioso dentro de la máquina, es ver cuál de ellos tiene en su entrada de registro propiedades de lectura y escritura sólo para SYSTEM, con lo que cualquier usuario que, por ejemplo con el regedit, revise el registro, no podrá acceder al contenido de la clave. Por defecto, y de forma general, no existen muchos servicios que instalen la clave de registro con estas características, con lo que detectar un servicio así es síntoma claro de una posible infección de Conficker.

Es necesario recalcar que aún cuando tengamos el parche instalado (MS08-67), podemos ser infectados puesto que la capacidad del gusano de reproducirse es bastante avanzada, ya sea a través de discos USB, unidades compartidas o simplemente recibiendo el gusano por correo y ejecutándolo.

Aunque la comunidad de seguridad está intentando luchar contra esta fría y calculada amenaza, ya sea registrando dominios a los que el gusano se puede conectar para ser controlado, u ofreciendo cuantiosas recompensas, Conficker sigue haciendo de las suyas. Por mucho que registremos todos los posibles dominios no estamos más que poniendo un parche temporal y no estamos enfrentándonos al problema.

Desde el SOC de S21sec se está ayudando activamente a todo tipo de empresas para la gestión de este tipo de incidentes, con lo que si necesita cualquier ayuda, no dude en contactar con nosotros.

David Barroso
S21sec e-crime

4 comentarios:

Abel dijo...

Je, je, ahora mismo mientras escribo esto estamos peleando con lo que parece una variante del Conficker que no detecta nuestro antivirus. Ya os contaré.

Un saludo.

D65DESCALIBRATED dijo...

¿Cuál es vuestro antivirus?

Abel dijo...

McAfee, pero el muy cab... del servidor ePO no se baja la última versión, intenta bajar la 5548 cuando la última disponible es la 5549. Me la he tenido que bajar e instalar a mano y entonces ya me detecta y elimina las infecciones.

Parece que tenemos controlado el asunto, pero que follón nos está dado este "pequeño" detalle.

El 'Eu Angel' dijo...

Hola.

Yo tambien tengo un blog de seguridad, que por motivos de tiempo no llevo muy al día. Pero os sigo bastante.

Yo tuve problemas con conficker hace tiempo. Es una obra de arte al igual que un fastidio.

Lo conseguí eliminar, después de muchos intentos y de buscar y buscar maneras, e infectarme de más virus (el que más me la lió, a raiz de tener el conficker, fue un dns changer), utilizando una partición con Linux y pasando el avast a la partición de Windows. Pero me cargué archivos de script de los discos duros y no se abre con doble clic, de hecho, el script ya no existe en el sistema.

De todas formas, la solución de Linux fue efectiva y quedé libre de virus.


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login