Más malas noticias para los Internautas. El Gusano Conficker, que comprueba diariamente 250 dominios diferentes cada día para poder hacer una actualización, podría convertirse en un gusano pesadilla mucho más difícil de detener y destruir, si los responsables del análisis del programa malicioso, no pueden obtener su código a más tarde vacunar a los equipos infectados.
El módulo de software, descubierto el viernes pasado e inicialmente denominado Downadup.C y Conficker.C, causa que Conficker pueda buscar equipos infectados - no 250 -, pero si 50.000 dominios diferentes por día para su auto actualizaciones. El mes pasado, Microsoft se asoció con empresas de seguridad y los registradores de dominio para bloquear los 250 nuevos dominios que el gusanos Okupa cada día. El grupo, llamado el Conficker Cabal, aseguro que será difícil bloquear los intentos de que los ordenadores que ya están infectados permitan una actualización desde 50000 distintos ámbitos diferentes.
Sin embargo, el Grupo Cabal contempla los esfuerzos de bloquear los dominios como una medida paliativa, dijo Vicent Weafer, Vice President del grupo de respuesta de seguridad para empresa de seguridad de Symantec, que posee securityfocus.
"La compra de los dominios a nosotros mismos entendemos que es comprar tiempo", dice Weafer. "Nunca fue destinado a ser un compromiso a largo plazo para una estrategia defensiva".
El gusano Conficker, que también tiene otros nombres, conocidos como Downadup y Kido, ha sorprendido a muchos expertos en seguridad con su éxito en la propagación a través de Internet. Descubierto por primera vez en noviembre de 2008, el gusano ya ha infectado por lo menos 11,4 millones de Computadores y sistemas informáticos, de acuerdo con un censo de las direcciones de Internet en peligro realizada por SRI International. Las empresas que vigilan los nombres de dominio generadas por computadoras infectadas han encontrado alrededor de 3 millones de direcciones IP de los dominios en contacto cada día, a un nivel que parece ser estable a lo largo de las últimas dos semanas.
La primera variante del gusano utiliza una vulnerabilidad en Microsoft Windows para el sistema operativo que se extendió a equipos vulnerables. Una segunda versión del programa también se extiende a los recursos compartidos de red abiertos y los intentos para acceder a los sistemas débilmente protegidos y haci9endo 240 intentos por reventar las contraseñas comunes. El programa más tarde, conocido como Conficker.B, también se propaga por sí mismo y se copia en las memorias USB e infectan el archivo autorun.inf. Ambos programas están ya desde hace tiempo clasificados en el bloque de seguridad y sistemas de actualización de software y en listas negras de los dominios de Microsoft y muchas empresas de seguridad.
Symantec descubrió el módulo un Conficker en el honeypot, un sistema que la empresa utiliza para controlar el gusano. Debido a que la Cábala bloquea los dominios del Conficker que el gusano utiliza para actualizar los sistemas infectados, es probable que en todo caso el módulo no se extendiera rápidamente. Sin embargo, las máquinas de infectados por el mismo recurso compartido de red, permite hacer a cada uno una actualización de igual a igual capacidad, dijo Weafer. Por lo tanto, si una infección del sistema se actualiza, también todos los demás equipos infectados en la misma red y recibirá el nuevo código también.