Y el ganador es… Conficker

SeguridadVirus

Aunque pueda parecer bajo control, la familia de programas maliciosos reside en más de 6,5 millones de ordenadores de todo el mundo, y más de un 5% de direcciones de Internet muestran signos de infección.

No hace mucho que la ShadowServer Foundation mostraba hasta qué punto las tres principales variantes de Conficker se han extendido e infectado las redes de todo el mundo. Más de 12.000 redes muestran signos de infección por Conficker, y eso cuando ShadowServer Foundation se ha limitado a mostrar los datos de 500 redes porque, según explican, el principal objetivo es “mostrar cuánto se ha extendido Conficker y dónde tiene su posición establecida.

Un equipo de investigadores voluntarios que ayudaron a establecer el Conficker Working Group a principios de este año ha recogido los datos de las organizaciones miembros. Los datos agrupan Conficker en dos claes. Conficker A+B son las dos primeras variantes del programa, que intenta expandirse automáticamente. Conficker C es una variante que apareció en marzo y que no tiene manera de propagarse a menos que se actualice. De esta forma, el número de direcciones de Internet que muestran signos de infección por Conficker A+B está creciendo mientras que las de Conficker C se están reduciendo.

Los datos muestran que, aunque los países más grandes, como China, tienen un mayor número de máquinas infectadas por Conficker, proporcionalmente sólo el 1% de la red más grande del país muestra signos de infección. Por otra parte, las redes más grandes en países como Vietnam, Indonesia y Ucrania tienen más del 5% de sus direcciones infectadas.

Conficker, también conocido como Downadup and Kido, ha sorprendido a la mayoría de los expertos de seguridad con su éxito a la hora de propagarse a través de Internet. Descubierto primero en noviembre de 2008, el gusano se extendió inicialmente utilizando una vulnerabilidad en Microsoft Windows y contactando con 250 dominios aleatorios para buscar actualizaciones. En abril, Conficker evolucionó hacia un botnet que mantenía conexiones peer-to-peer, pero que no se extiendía automáticamente. Mientras que las primeras versiones del programa contactaron con 250 nombres de dominios al azar, las últimas versiones lo hicieron con 50.000 dominios diarios, también al azar, y contectaron con 500 de ellas en busca de actualizaciones.

Desde primeros de este año el Conficker Working Group ha estado preregistrando dominios para impedir que el software se actualice. Desde este grupo afirman que cada día las empresas de seguridad pierden tiempo y dinero en registrar dominios y que lo están haciendo de manera altruista porque, si no hay cuidado y dejan de hacerlo, el ‘bot mestro’ puede empezar a utilizar el botnet de nuevo.

Y lo más grave es que, a pesar de tener infectados a 6,5 millones de sistemas, Conficker es una amenaza conenida. A primeros de octubre el número de direcciones IP que mostraban signos de infección alcanzaron los siete millones, y desde entonces la cira ha caído. Algunos países, como Brasil, se han centrado en identificar y limpiar los sistemas comprometidos y parece que ha habido cierto éxito.

Leer la biografía del autor  Ocultar la biografía del autor