25 jun 2009

Virus Conficker

De Wikipedia, la enciclopedia libre

Conficker, también conocido como Downup Devian, Downandup y Kido, es un gusano informático que apareció en octubre de 2008, que ataca el sistema operativo Microsoft Windows. El gusano explota una vulnerabilidad en el servicio Windows Server usado por Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, y el beta de Windows 7.

Origen del nombre

Fue bastante extendida la etimología del nombre del virus como un calambur alemán, o devian como el demonio de 5 ojos ya que "conficker" se pronuncia en alemán como la palabra inglesa "configure" (configuración), y la palabra alemana ficker es un equivalente obsceno de la palabra castellana joder, por lo que conficker sería como programa que estropea la configuración, aunque en un sitio de Microsoft se explica que el nombre proviene de seleccionar partes del dominio trafficconverter.biz que aparece en su código:

trafficconverter.biz =>(fic)(con)(er) => (con)(fic)(+k)(er) => conficker.

Operación

El virus se propaga a sí mismo principalmente a través de una vulnerabilidad del desbordamiento de búfer del servicio Server de Windows. Usa una solicitud RPC especialmente desarrollada para ejecutar su código en el computador objetivo.

Cuando ha infectado un computador, Conficker desactiva varios servicios, como Windows Automatic Update, Windows Security Center, Windows Defender y Windows Error Reporting. Luego se contacta con un servidor, donde recibe instrucciones posteriores sobre propagarse, recolectar información personal o descargar malware adicional en el computador víctima. El gusano también se une a sí mismo a ciertos procesos tales como svchost.exe, explorer.exe y services.exe

Parcheado y eliminación

El 15 de octubre de 2008 Microsoft lanzó un parche (MS08-067) que corrige la vulnerabilidad de la que se aprovecha el virus. Existen herramientas de eliminación de Microsoft, ESET, Panda Security, Symantec, Kaspersky Lab, TrendMicro, de Service Pack, pues el soporte para estas versiones ha expirado. Dado que puede propagarse a través de memorias USB que activen un Autorun, es recomendable deshabilitar esta característica modificando el Registro de Windows.