| Noticias | 27 ABR 2009

¿Conficker.E se autodestruirá el 5 de mayo?

Tags: Seguridad
La evolución del gusano Conficker dará un nuevo giro el próximo 5 de mayo, cuando la última versión del mismo, Conficker.E, simplemente se autodestruirá en las máquinas infectadas. Así al menos lo apuntan diferentes investigadores de seguridad.
Paula Bardera

F-Secure, Trend Micro y SecureWorks se encuentran entre los que creen que Conficker.E surgió por primera vez en abril y que fue creado, muy probablemente, por los mismos atacantes que el pasado otoño lanzaron Conficker.A. Según ellos, Conficker.E ha sido diseñado para, simplemente, autodestruirse el 5 de mayo.

“Simplemente se autodestruirá”, ha declarado Mikko Hypponen, responsable de investigación en F-Secure, quien también destaca que los investigadores, que han estado discutiendo sobre los nombres de las variantes del gusano, sí han estado de acuerdo en pasar de largo el nombre Conficker.D para establecer el de Conficker.E.

Pero incluso si Conficker.E simplemente se autodestruyera tal y como se espera, seguiría dejando millones de equipos basados en Windows infectados por todo el mundo con Conficker.C, que ha estado activo este mes. En este tiempo, ha intentado engañar a sus víctimas dirigiéndolas a páginas falsas de antivirus, para que pagaran 50 dólares y conseguir una solución para eliminar Conficker.C.

“Estamos empezando a ver cierta generación de beneficios” con esta técnica, ha declarado Philip Porras, director de programación en el laboratorio de ciencias de SRI International, en una presentación que ha realizado en la Conferencia RSA. “Estamos empezando a ver algunos modelos de negocio que sacan beneficio de ello”.

Investigadores de seguridad de la industria y del gobierno están utilizando diferentes medios para monitorizar el comportamiento de Conficker.C, que actualmente ya bloquea más de 114 sitios antivirus legítimos y trabaja junto con la red bot Waledec.

Porras cree que Conficker.C está implicado en un elaborado proceso de venta de software antimalware falso. Cuando entra en las máquinas infectadas, puede dirigir a sus víctimas hacia páginas Web en las que se vende software fraudulento.

Uno de estos sitios parece estar registrado en Ucrania y vende el catálogo de SpywareProtect, asociado con el "Ukraine Bastion Trade Group". Pero lo que no está claro es que Conficker ha sido creado por ese grupo y los investigadores siguen sin saber quién originó y controla el complejo sistema de control de Conficker.

A pesar de los esfuerzos del Conficker Working Group, un grupo que ahora cuenta con 300 expertos de la industria y del gobierno totalmente dedicados a intentar identificar la fuente de Conficker y pararlo, aún no ha dado fruto alguno.

Porras destaca que, la complejidad de Conficker sugiere que detrás pueda haber una banda organizada que comparta experiencia y conocimiento, más que una persona individual.

Los investigadores han encontrado aspectos extraños en el gusano, tales como la probable autodestrucción de la variante Conficker.E. Pero lo cierto es que Conficker.E, que apareció a mediados de abril, nunca ha sido tan efectivo como otras variantes, lo que ha sido una sorpresa para los investigadores, puesto que el camino recorrido hasta ahora ha sido bastante impresionante en el aspecto técnico.

“Algunas de las funcionalidades en .E no funcionan”, explica Stewart. Conficker.E puede ser un nuevo intento antimalware que simplemente no ha sido lo suficientemente bueno, o quizá haya sido una distracción deliberada por los atacantes para arrojar algo de confusión entre los investigadores. “Deben estar trabajando en una versión más avanza”.

Sin embargo, nadie, aparte de los creadores de Conficker, parece saber qué pasará a continuación. Aún así, los investigadores tienen cada vez más claro que persigue fines económicos.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información