| Artículos | 01 MAY 2009

Downadup, el gusano más peligroso y virulento

Tags: Histórico
Simona Cana.
El gusano Downadup (también conocido con Conficker o Kido) fue detectado por primera vez en noviembre de 2008, cuando utilizaba una vulnerabilidad de Microsoft para propagarse por la red e instalar un falso software de seguridad. A finales de diciembre del mismo año, se detectó otra versión con unos métodos de propagación mejorados y nuevas rutinas de actuación.

Actualmente, este gusano se propaga a través de medios de almacenamiento masivo USB y parchea funciones de TCP para bloquear el acceso a las páginas web de fabricantes antivirus y a las actualizaciones de Windows.
Uno de los principales riesgos para los sistemas infectados con este gusano es que los hace más propensos a infectarse con otro malware. Además, al bloquear el acceso a las páginas web de los antivirus y de Windows Update los equipos quedan desactualizados de manera que dejan el sistema expuesto a todo tipo de infecciones. Al mismo tiempo se puede producir un incremento en el tráfico de red por los repetidos intentos de infección hacia los demás equipos de la red. La pérdida de información no es preocupante en estos casos, pero sí lo es la posibilidad de robo, pues el gusano puede descargar módulos adicionales desde Internet y enviar datos confidenciales hacia sus creadores. Downadup tiene la capacidad de convertir a los equipos infectados en zombies y, además, en sistemas operativos como Vista desactivan algunas funciones de red para facilitar su incursión. La imposibilidad de acceder a las páginas web de los fabricantes antivirus hace muy difícil la desinfección y de esta manera da mucho más tiempo a los creadores para actuar y conseguir su objetivo.

¿Cómo solucionar el problema?
El primer paso que hay que seguir es buscar el proceso y, si está en memoria, terminarlo. A continuación se deben obtener permisos de sistema para poder desinfectarlo, y eliminar el virus de su ubicación habitual. Una vez eliminado, es imprescindible realizar un escaneo en otras carpetas donde también podría estar “escondido” el gusano y eliminarlo en caso de que se encuentre. Finalmente, es importante eliminar las claves de registro que el gusano añadió para ejecutarse con el inicio del sistema así como restaurar las actualizaciones de Windows. Así, el sistema queda limpio y puede descargar las actualizaciones de Windows y de firmas de virus de su software antivirus para estar protegido.

Bloqueo de dominios
Downadup bloquea los dominios de fabricantes de software de seguridad utilizando una serie de palabras clave. En caso de que alguna de las palabras se detecte, la conexión a la página fallará mostrando el mensaje “Tiempo de espera agotado”. Entre esas palabras se encuentran algunas como “virus”, “spyware”, “rootkit”, “malware”, etc.
Para hacer más difícil su detección el gusano genera una lista de 250 dominios diarios donde conectarse y buscar actualizaciones de sus rutinas. El algoritmo que utiliza para generar estos nombres de dominio se basa en la fecha y hora actual, conectándose primero a una página para recopilar estos datos.
Aunque el gusano en un principio no adquiera el comportamiento de botnet, se espera que algunos de estos dominios contengan otros programas maliciosos que podrían crear uno.
Downadup es esencialmente un downloader extremadamente viral, que, antes o después, comenzará a descargar lo que se convertirá en un bot. El impacto de este gusano en los usuarios finales es bastante más alto que el de otros que están hoy día en propagación, por lo que es necesario extremar las precauciones.


Simona Cana, responsable técnico de BitDefender en España y Latinoamérica

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información