Características del gusano Downadup, Conficker o Kido
enero 27, 09 by Gerald | Puesto en General
Estoy recopilando información acerca del virus Downadup, Conficker o kido para mañana mismo probar en mi pc de prueba como es que infecta y que es lo que modifica en windows.
Hasta ahora Microsoft nos recomienda actualizar en su Boletín de seguridad de Microsoft MS08-067 – Crítico.
Nombre común: Conficker.A
Nombre técnico: W32/Conficker.A.worm
Peligrosidad: Baja
Tipo: Gusano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para propagarse y descargar el falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Descripción Breve:
Conficker.A es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Mediante esta vulnerabilidad, Conficker.A consigue descargar el falso antimalware detectado como Adware/AntiVirus2009 en el ordenador afectado. Conficker.A se propaga explotando la vulnerabilidad MS08-067. Para ello, ataca ciertas direcciones IP en las que intenta introducir una copia de sí mismo.
Efectos:
Conficker.A está diseñado para descargar un falso antimalware detectado como Adware/Antivirus2009 en el ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Metodo de Infección:
Conficker.A crea una DLL (Librería de Enlace Dinámico) de nombre aleatorio en el directorio de sistema de Windows.
Conficker.A crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ netsvcs\ Parameters
ServiceDll = %sysdir%\%nombre aleatorio%.dll
dondee %sysdir% es el directorio de sistema de Windows.
Método de Propagación:
Conficker.A se propaga mediante la explotación de la vulnerabilidad denominada MS08-067, que se trata de una vulnerabilidad en el servicio de servidor de Windows. Para ello, realiza el siguiente proceso:
Se conecta a las siguientes páginas web para obtener direcciones IP:
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Después, escanea las direcciones IP que ha recopilado en busca de ordenadores que tengan en puerto 445 abierto. Se trata del puerto del servicio RPC, que es el componente vulnerable.
En caso de encontrar alguno, descarga en el ordenador atacado una copia de sí mismo.
Otros Detalles:
Conficker.A tiene un tamaño de 62976 Bytes y está comprimido mediante UPX.
Además, intenta descargarse los archivos GEOIP.DAT.GZ y GEOIP.DAT de la siguiente página web:
http://www.maxmind.com
Estos archivos no son maliciosos, sino que se trata de un programa que localiza direcciones IP en el mundo. Conficker.A utiliza este programa para obtener información del punto geográfico de las direcciones IP a las que ataca.
Con todo se llega a la conclusión de que es fundamental:
- Parchear los sistemas operativos y adoptar políticas de gestión que aseguren que infecciones similares no ocurran en el futuro.
- Utilizar un antivirus con capacidades proactivas. Entre ellos tenemos a ESET NOD32, Avira, Kaspersky.
- Utilizar un Firewall para bloquear los puertos que pueda utilizar el malware al infectar un equipo en la red.
- Instalar la actualización de seguridad informada en boletín MS08-067 de Microsoft. Si bien las últimas versiones de Conficker también utilizan otras técnicas de propagación, la instalación de esta actualización es crítica y disminuirá el potencial riesgo de infección.
Saludos!!
[ Más información en Forosyware ]
[ Boletín de seguridad de Microsoft MS08-067 – Crítico ]
CiTriX Says: 13.02.09 at 12:11 am
Hola buenas estaria interesado que me facilitaran la descarga de este virus ya que estoy recopilando informacion sobre el y me interesaria tenerlo para descompilarlo y poder investigarlo mejor.gracias de ante mano.
Salu2