El virus Conficker: cómo funciona y cómo protegerte

El Virus Conficker es un tipo de malware conocido como gusano informático. Se descubrió por primera vez en noviembre de 2008, después de que se propagara a través de Internet explotando una vulnerabilidad en un servicio de red en Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 y Windows Server 2008 R2 Beta. Utilizando una falla en NetBIOS (MS08-067), el gusano Conficker obtuvo acceso a tu computadora personal y servidores para iniciar un intenso ataque de diccionario para eludir las contraseñas de administrador y formar una botnet.

Contenido relacionado: El virus Shlayer: cómo funciona y cómo protegerte

Desde el descubrimiento del malware Conficker en 2008, Microsoft ha parcheado la vulnerabilidad MS08-067 en la actualización de seguridad 958644. Esto ha impedido que el gusano se propague más, pero no antes de que pueda extenderse a millones de computadoras en más de 190 países, incluidas computadoras personales, computadoras empresariales y gubernamentales. Si bien se sabe que se encuentra entre los códigos maliciosos que más proliferan en el mundo, los autores originales no lo han utilizado para dañar los sistemas. Algunos atribuyen este extraño comportamiento a que los hackers no desean llamar la atención.

También se le conoce como:

• Mal/Conficker-A
• Win32/Conficker.A
• W32.Descarga
• W32/Descargar.A
• Conficker.A
• Net-Worm.Win32.Kido.bt
• W32/Conficker.gusano
• Win32.Worm.Downadup.Gen
• Win32: Confi
• GUSANO_DOWNAD
• Gusano.Downadup

¿Cómo funciona el virus Conficker?

El gusano Conficker es un código malicioso que aprovechó una vulnerabilidad de software en la codificación de redes informáticas de Windows. El malware eludió la autenticación adecuada para permitir que el código malicioso descargara cargas útiles de software y se propagara. Se le conoce más comúnmente como gusano debido a su capacidad para propagarse por sí solo e incrustarse más profundamente en las computadoras con Windows, generalmente instalándose en archivos del sistema Win32 como un archivo DLL y agregando claves de registro para evitar ser detectado y ejecutado como una aplicación en segundo plano.

Las cargas útiles se recuperaron mediante extracciones HTTP que se originaron en Trafficconverter.biz y se distribuyeron en 250 dominios pseudoaleatorios en 5 TLD (dominios de nivel superior). Cada serie de cargas útiles tenía como objetivo actualizar el virus Conficker a una forma más nueva con mayor funcionalidad. Estas variantes han sido identificadas como Conficker A, B, C, D y E por Microsoft y Conficker A, B, B++, C y D por el grupo de trabajo de Conficker (CWG).

Conficker A a B

Conficker A se refiere a la variante original del código malicioso. Este gusano logró acceder a una sorprendente cantidad de dispositivos en muy poco tiempo. Los piratas informáticos responsables de escribir el código estaban rastreando los intentos del antivirus para eliminar el malware y detener la propagación, ya que casi inmediatamente después de remediar la vulnerabilidad inicial, los usuarios HTTP comenzaron a descargar una versión actualizada del malware para aumentar la funcionalidad.

Te puede interesar leer: Incorporando el dominio tecnológico en tu currículum

La segunda forma del virus, Conficker B, se detectó el 29 de diciembre de 2008, poco más de un mes después del descubrimiento inicial. Agregó la capacidad de que el código malicioso realice ataques de diccionario en los recursos compartidos ADMIN$ y creó un malware troyano de ejecución automática basado en DLL que podría usarse en unidades de almacenamiento extraíbles. Como método añadido para evitar intentos de ciberseguridad,

La solución inicial para Conficker fue una actualización para parchear la vulnerabilidad en computadoras con Windows NetBIOS (MS08-067). Así, Conficker B aplicó un mecanismo de autodefensa que deshabilitó las actualizaciones automáticas para detener la aplicación del parche e incluso impidió ciertas búsquedas de DNS para evitar la detección. Incluso intentó parchear el código MS08-067 para reabrir la vulnerabilidad en busca de infección.

Conficker C

Microsoft, el grupo de trabajo Conficker, Conficker Cabal y los equipos de ciberseguridad del gobierno estaban trabajando arduamente para tratar de eliminar la infección y crear mejores métodos de detección a medida que los sistemas gubernamentales se veían gravemente afectados. El 15 de enero de 2009, la Armada francesa se vio obligada a dejar en tierra varias bases aéreas debido a que el gusano impidió que los aviones descargaran planes de vuelo.

Hacia finales de febrero de 2009, se introdujo Conficker C. Aumentó la congestión de la red al cambiar de 250 descargas de dominios pseudoaleatorias a entre 500 y 50 000 descargas diarias en ocho TLD e introducir canalizaciones de URL con nombre a un host remoto para aumentar aún más las descargas directas de carga útil.

Conficker D

En marzo de 2009, el gusano Conficker volvió a transformarse. Esta vez, la extracción HTTP se incrementó de ocho TLD a 110 TLD por día y se utilizaron conexiones P2P. El protocolo personalizado se instaló para buscar pares infectados a través de UDP y luego transferir el gusano a través de TCP. Conficker D también experimentó un aumento masivo en sus protocolos de autodefensa utilizados como método de prevención contra el software que intentaba deshacerse del código malicioso.

Utilizó un parche en la memoria de DNSAPI.DLL para bloquear las búsquedas de sitios web relacionados con antimalware/antivirus, desactivó el modo seguro e inició un código malicioso que finalizaba el software antimalware/antivirus en intervalos de un segundo.

Te puede gustar leer: Cómo puedes eliminar una página en PDF en 5 pasos

Conficker E

En la última versión conocida del malware Conficker, el gusano creó una defensa del ciclo del software. Los protocolos de autodefensa y las técnicas de propagación aparentemente ya estaban perfeccionados cuando Conficker E buscaba entregar cargas útiles de malware como el spambot Waledac y el scareware SpyProtect 2009. Esta versión actualizó cualquier copia local de Conficker C a Conficker D, pero extrañamente también eliminó la variante E el 3 de mayo de 2009, dejando una copia del virus Conficker D.

La variante E fue la única variante de Conficker que utilizó el acceso obtenido por el gusano para hacer algo más que interrumpir el ancho de banda de la red y propagarse aún más. Con el código incorporado para eliminar E después de un mes, esta variante probablemente fue una prueba para el uso potencial del gusano.

¿Cómo se propaga el virus Conficker?

Las infecciones iniciales del virus Conficker fueron posibles aprovechando una vulnerabilidad en las computadoras con Windows a través del Servicio de Servidor. Las variantes A, B, C y E utilizaron solicitudes RPC especialmente diseñadas para forzar un desbordamiento del búfer y ejecutar shellcode en la computadora de destino.

La computadora de origen ejecutaría un servidor HTTP en un puerto entre 1024 y 10000. El código shell de destino se conectaría nuevamente a este servidor HTTP para descargar el virus en formato DLL que luego se adjuntaría a svchost.exe. Las variantes B y posteriores a veces se adjuntaban a un proceso Services.exe o del Explorador de Windows en ejecución en lugar de svchost.exe.

Las variantes B y C podrían proliferar de forma remota copias de sí mismas a través del recurso compartido ADMIN$ en computadoras visibles a través de NetBIOS. En el caso de que el recurso compartido estuviera protegido con contraseña, el gusano Conficker realizaría un ataque de diccionario que podría generar un tráfico de red significativo y habilitar políticas de bloqueo de cuentas de usuario.

B y C también podrían colocar una copia de la forma DLL del virus dentro de las carpetas recycle.bin de cualquier medio extraíble adjunto que luego podría infectar otros dispositivos utilizando el mecanismo de ejecución automática de Windows con un autorun.inf personalizado.

Te sugerimos leer: ¿Por qué es tan exitoso el Cyber Wow en Perú?

Síntomas de una infección por el virus Conficker

Como el gusano Conficker se ejecuta a través de un archivo DLL para permanecer invisible en los programas activos, puede ser difícil de detectar. Incluso los síntomas a veces se atribuyen a otros problemas relacionados con la red. Aquí hay una lista de los síntomas más comunes atribuidos al gusano Conficker:

• Se están activando políticas de bloqueo de cuentas. Esto puede deberse al ataque de diccionario de fuerza bruta que utiliza el gusano Conficker para obtener acceso a los recursos compartidos ADMIN$.
• Las actualizaciones automáticas, el servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y los servicios de informe de errores se están deshabilitando automáticamente.
• Los controladores de dominio responden lentamente a las solicitudes de los clientes.
• Congestión en la red.
• Se impide el acceso a sitios web relacionados con la seguridad.
• Se impide la ejecución de antivirus, antimalware y otras herramientas relacionadas con la seguridad.

Como se puede observar por los síntomas, el virus afecta principalmente a la congestión de la red y al acceso a las cuentas de los usuarios. Esto se debe principalmente a las descargas diarias del malware y a los ataques de diccionario de fuerza bruta. Solo la Variante E hizo uso de los efectos del software para instalar otros ataques de software malicioso, pero fue rápidamente retirada ya que la Variante E fue programada para eliminarse sola un mes después de su lanzamiento.

¿Cómo deshacerte del virus Conficker?

Los métodos modernos para deshacerte de Conficker son mucho más sencillos de lo que solían ser. Microsoft Safety Scanner, Windows Defender, Webroot, Malwarebytes, AVG y otros han implementado herramientas de eliminación de malware que buscan y eliminan el virus. Si alguno de los programas antivirus enumerados no funciona, también puedes seguir instrucciones explícitas del Centro de protección contra malware de Microsoft para eliminar manualmente el virus.

Las computadoras con Windows 10 o Windows 11 han mejorado significativamente y no tienen la vulnerabilidad NetBIOS que el gusano requiere para infectar tu dispositivo. Sin embargo, si todavía estás intentando ejecutar una computadora o servidor Windows obsoleto con sistemas vulnerables, puedes desactivar la función de ejecución automática y aplicar el parche de seguridad manualmente proporcionado por Microsoft en el sitio web oficial de la empresa.

El mejor software antivirus para el virus Conficker

Ningún software antivirus o antimalware específico es más eficaz que otro para eliminar el virus Conficker. Durante el apogeo de la propagación de Conficker, Microsoft, Conficker Cabal, CWG y entidades gubernamentales pusieron muchos esfuerzos para solucionar el problema. Sin embargo, el mejor método para deshacerte de él es actualizar el sistema operativo Microsoft Windows a una versión más nueva que carezca de la vulnerabilidad que Conficker utiliza.

Como resultado, Microsoft lanzó Microsoft Safety Scanner para ayudar a limpiar el malware de las computadoras con Windows. Como no todos los antivirus tenían entradas de diccionario para detectar Conficker, el Centro de protección contra malware de Microsoft desarrolló un binario independiente que resultó útil en sus esfuerzos por eliminar el software malicioso predominante, incluida la familia de malware Win32/Conficker. Desde entonces, AVG, Norton, Malwarebytes, Trend Micro, Comodo, Webroot y muchos otros programas antivirus han agregado la capacidad de buscar y eliminar el gusano Conficker.

Si bien los sistemas más nuevos son significativamente menos vulnerables a la propagación del gusano Conficker, el virus todavía está en la red mundial y aún puede llegar a las computadoras modernas con Windows.

Preguntas frecuentes

¿Cómo funciona el virus Conficker?

El virus Conficker utiliza una vulnerabilidad en los sistemas operativos Windows más antiguos, NetBIOS, para instalarse como un archivo DLL con claves de registro para ejecutarse como un programa invisible en segundo plano. Por lo general, no daña los archivos del dispositivo, pero otorga acceso remoto al hacker que lo originó.

Las variantes A a D parecían ser una prueba para que el gusano proliferara e infectara tantos dispositivos como fuera posible durante los dos primeros años de su creación. Solo se sabía que la variante E del virus instalaba código malicioso.

¿Cómo puedes protegerte del virus Conficker?

Hoy en día, la prevención de Conficker está integrada, ya que el NetBIOS de las computadoras modernas con Windows ha eliminado hace tiempo la vulnerabilidad que el gusano requería para la seguridad del usuario. Debido a los efectos de la investigación realizada por Microsoft, el CWG, Conficker Cabal y otras empresas de ciberseguridad, Conficker es un problema del pasado y solo preocupa a los sistemas seriamente obsoletos. El mejor método de prevención es actualizar a un sistema operativo más nuevo.

Los usuarios también pueden ejecutar Windows Defender, software antivirus y un firewall.

¿Cuál es un ejemplo del virus Conficker?

El virus Conficker es un gusano específico que se creó en 2008 e infectó millones de ordenadores en 2008. Los mayores efectos afectaron a los sistemas gubernamentales e incluso provocaron que la Armada francesa detuviera los vuelos de los aviones debido a que el gusano impedía que los aviones descargaran rutas de vuelo en enero de 2009.

No te vayas sin antes leer: ¿Qué es el Gran Colisionador de Hadrones y qué hace?

¿Quién creó el virus Conficker?

El autor original del virus nunca fue encontrado a pesar de una recompensa ofrecida por Microsoft y numerosos intentos de encontrar al autor. Sin embargo, ha habido muchas suposiciones de que el hacker tenía su base en Ucrania debido a las URL utilizadas por el virus Conficker para descargar actualizaciones originadas en algún lugar dentro de Ucrania.

¿Conficker sigue siendo una amenaza?

Para los sistemas operativos modernos, el virus Conficker ya no representa una amenaza. Con el software antivirus actualizado, Windows Defender, un firewall y parches de seguridad, esta preocupación pasó a ser cosa del pasado. Sin embargo, los dispositivos que aún ejecutan copias vulnerables del sistema operativo Windows pueden ver que el virus Conficker se convierte en un problema, ya que todavía está en la red mundial.