Menu
in

Conficker despierta y se actualiza

Si bien el primero de abril hizo poco y nada, el gusano Conficker ha sido rastreado día a día, en espera de algún cambio en su comportamiento. Finalmente, ese cambio ha surgido. El gusano ha comenzado a recibir actualizaciones utilizando métodos de conexión P2P, y una vez más ha vuelto al comportamiento que tienen otros gusanos: Propagarse. Aún así, la nueva versión de Conficker tiene algo que va en contra de esa propagación, y es nada menos que una fecha de vencimiento.

Para muchos, esta nueva versión del Conficker está haciendo lo que se esperaba del gusano, y es obtener dinero. Por un lado, ha vuelto a su viejo hábito de atacar la vulnerabilidad MS08-067, pero al mismo tiempo ha creado una pseudo-red P2P en la que puede buscar sistemas infectados a través de UDP, para luego transferir contenido por TCP. En un aspecto ya no tan técnico, esta nueva versión "E" (se considera versión "D" a la que se activó el primero de abril sin consecuencias mayores) descarga el spambot conocido como Waledac. Por cuestiones de simple deducción, las autoridades están considerando que los responsables detrás de Waledac tal vez tengan algo que ver con el Conficker, ya sea con la creación del gusano o con alguna clase de asociación ilícita.

Pero el Conficker también ha empezado a manipular algo, y es el miedo de la gente. En adición a Waledac, el gusano instala un supuesto programa limpiador de spyware llamado "SpyProtect 2009", que anuncia que puede detectar y remover a Conficker (junto con decenas de mensajes de alerta), pero a cambio de la módica suma de €38. No estamos seguros de cuánta gente puede llegar a caer en una trampa así, pero al menos las intenciones del gusano ya son un poco más tangibles.

Probablemente lo más intrigante de todo es que la versión E del Conficker trae una especie de fecha de vencimiento. Según los expertos, hay instrucciones en su código que indicarían un cese en su actividad exactamente el 3 de mayo, interrumpiendo tanto la descarga de datos como su propagación. Como es de suponer, las razones para esta desactivación son desconocidas, pero si el gusano efectivamente desaparece después de haber infectado a millones de sistemas alrededor del mundo, pocas dudas quedarán sobre considerar al Conficker como el ataque más elaborado en la historia de la informática. Por ahora, hay que esperar al 3 de mayo, y cuidarse más que nunca. Conficker "E" es infeccioso, y está buscando sistemas para invadir en este mismo momento.

Escrito por Lisandro Pardo

Leave a Reply