El post que buscas se encuentra eliminado, pero este también te puede interesar

Conficker: el virus mas poderoso de la historia

Anuncios

Protegé tu PC: los virus no se toman vacaciones (21/01/2009)


Conficker: el virus mas poderoso de la historia


El nuevo gusano Downadup ya infectó a 10 millones de computadoras y apenas iniciado el año se convirtió en el enemigo número 1 de los usuarios: en esta nota te decimos cómo opera.

En principio, el virus estival actúa contra los programas antivirus, ya que entra en las memorias de las computadoras y no deja acceder a los sitios Web de las empresas que diseñan los escudos contra el todos los malwares.

Conocido también como Conficker, se cree que es capaz de utilizar a los equipos infectados para su propio provecho, creando una botnet (utilizarlos en red de manera automática, sin el consentimiento de los usuarios).

Además atacaría el sistema de seguridad de Windows. Una de las grandes sorpresas es que su primera ofensiva había sido en octubre, por lo cual Microsoft ya había diseñado un programa de defensa.

Pero claro, no todo el mundo la instaló, con lo cual muchas computadoras quedaron a merced de este nuevo peligro informático.

Lo malo es que se transmite de varias maneras: a través de mails, de pendrives o cualquier medio extraíble y se puede copiar a sí mismo a través de redes de computadoras. Pero ojo, porque también es capaz de mutar y resultar imposible de detectar.

Las recomendaciones más importantes para impedir la propagación de este tipo de virus son:

- Tener instalado un buen programa antivirus (de paso, que incluya también un firewall y un anti-spyare) y actualizarlo periódicamente.

- Jamás abrir un mensaje de correo electrónico sin saber de quien proviene. Incluso, si se conoce al emisor, preguntarle si envió un mensaje.

- Tampoco conviene visitar sitios de Internet que no hayan sido escaneados previamente por los programas de seguridad.

- Analizar antes de conectar cualquier dispositivo extraíble, como un pendrive.

- Las carpetas compartidas en red deben tener una contraseña importante.

Conficker: todo lo que hay que saber sobre el virus más propagado (19/02/2009)


virus


El virus Conficker, también conocido como Downadup o Kido, fue el de mayor propagación de los últimos doce meses con más de 10 millones de computadoras infectadas; una tasa que lo hace comparable a las grandes epidemias generadas por nombres míticos como Iloveyou, Kournikova o Blaster.

El objetivo de esta amenaza informática es crear una gran red de computadoras-zombi controladas de forma remota, y se difunde aprovechando vulnerabilidades en los sistemas operativos no actualizados, aunque las versiones posteriores comenzaron a utilizar otros métodos de infección, tales como los recursos compartidos de los equipos y el archivo autorun.ini de los dispositivos de almacenamiento extraíbles, que le dieron nuevas vías de propagación.

Según Ralf Benzmüller, director de los laboratorios de seguridad de G Data, Conficker aprovecha una vulnerabilidad en el servicio RPC de Windows, ya solucionada por Microsoft, y tiene lugar enviando una petición inicial a la PC.

En caso de ser vulnerable, se envía un archivo malicioso que instala un servidor http y la ahora infectada PC envía otras peticiones de comprobación a otros equipos, enviando nuevos archivos infectados en el caso de no tener cerrado el agujero de seguridad.

Además, Conficker se propaga en redes locales protegidas con contraseñas débiles y utiliza el mecanismo de autoarranque de dispositivos USB extraíbles, como discos duros, pendrives, cámaras y similares.

Al completar con éxito la infección, se descargan más archivos de malware desde diversos dominios que instalan, entre otras cosas, scareware. Como el contacto con los servidores botnet no se pierde, Conficker genera 250 nuevos nombres de dominio al día.

La actual ola de infección sugiere que los creadores del gusano Conficker están preparando una nueva generación de botnets. En este momento, las máquinas infectadas parecen estar “listas para la batalla”, y posiblemente los atacantes darán pronto la señal de pasar al ataque, desencadenando una acción concertada con las botnets preparadas.

El caso de Conficker demuestra la importancia de contar con un sistema de gestión de los parches. La existencia de un agujero de seguridad en el sistema operativo Windows, que Conficker busca constantemente y explota cada vez que da con él, es de dominio público desde octubre de 2008.

Desde entonces, Microsoft ha ofrecido la actualización necesaria, e incluso una recompensa de 250.000 dólares para quien logre solventar dicho agujero, pero ni los usuarios ni los programadores reaccionan a tiempo ni descargan y aplican el parche disponible.

Un factor digno de mención, y todavía más decisivo, es que en muchas empresas ni siquiera existen políticas de utilización de dispositivos extraíbles como los pendrives USB, uno de los principales caminos para la difusión de Conficker.

Una forma de saber si nuestro equipo está infectado puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan, o cuando no podemos acceder a sitios web con las secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes y portales de información sobre malware.

Asimismo, los administradores de red pueden saber cuáles son las PCs infectadas al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las páginas http://checkip.dyndns.org, http://getmyip.co.uk, y http://www.getmyip.org, y en base a la fecha, se calculan distintas direcciones actualizadas a través de los dominios ask.com, baidu.com, google.com, msn.com, www.w3.org y yahoo.com.

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, convirtiendo la limpieza manual en una lucha titánica, se recomienda a los usuarios menos experimentados recurrir a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“) disponible en este enlace de la página de Microsoft. http://www.microsoft.com/downloads/details.aspx?familyid=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en

Conficker evoluciona a una versión más peligrosa (20/02/2009)


troyanos


Los atacantes que están detrás del gusano Conficker, también conocido como Downadup, lanzaron una nueva versión del malware que puede suponer un gran cambio en la manera en la que funciona este peligroso virus.

Así, la amenaza que en los últimos meses dejó a todas las demás infecciones informáticas en el camino, afectando más de 13.000 equipos y controlado más de 1.5 millones de direcciones IP a nivel mundial, ya dispone de una variante conocida como B++, que se parece bastante al primer Conficker, aunque utiliza una nueva técnica para descargar software, lo que les da a sus creadores más flexibilidad sobre lo que pueden hacer en las computadoras infectadas.

B++ se distribuye como un archivo DLL de Windows, tiene la capacidad de aceptar y validar a distancia las URL y los binarios de Win32, marcando un cambio importante en las estrategias utilizadas por los autores del Conficker originario para sacar partido de sus ataques.

Además, la actualización de Conficker cuenta con un nuevo método para la recuperación remota de los binarios de Win32, basado en el uso de un mensaje para la recepción de las URL de los sistemas remotos.

El mensaje se interpreta como una cadena que representa una dirección URL que se utiliza para descargar un archivo ejecutable, que es validado de forma automática mediante la firma de verificación y el inseguro algoritmo de criptografía RC4.

Con Conficker B++, las máquinas infectadas también podrían ser utilizadas para diversos propósitos, como enviar spam, instalar aplicaciones para robar contraseñas o enviar ataques de denegación de servicio (DoS).

Para visualizar el análisis completo del nuevo Conficker, visita este enlace: http://mtc.sri.com/Conficker/ (Esta en inglés)

No hay dos sin tres: Conficker ya tiene una tercera variante (9/03/2009)


gusanos


La firma de seguridad Symantec acaba de identificar la tercera versión del gusano Conficker, también conocido como Downadup, que sería la más agresiva conocida y lleva el nombre de W32 Downadup C.

Esta nueva variante de Downadup/Conficker consiste en realidad en un componente modular dirigido contra máquinas ya afectadas por el gusano, pero no está diseñada para autoreplicarse, como sí ocurría con sus predecesoras, semejándose más al perfil de un troyano que al de un gusano.

No obstante, W32 Downadup C permite transmitir a las computadoras infectadas instrucciones más poderosas para, entre otras acciones maliciosas, desactivar software antivirus y herramientas de análisis que pudieran poner en peligro el éxito de sus ataques.

Las generaciones anteriores de Downadup ya intentaban deshabilitar el software antivirus de las máquinas tomadas como víctimas, pero en esta ocasión, el malware está diseñado principalmente para desencadenar acciones de inmunidad frente a los sistemas de seguridad presentes en las máquinas basadas en Windows ya infectadas.

De acuerdo a Vincent Weafer, vicepresidente de Symantec Security Response,
“debe pensarse en este malware como si se tratara de un módulo de actualización que hace al software original más agresivo, más fuerte y capaz de defenderse a sí mismo”.

La tercera versión de Conficker fue descubierta el viernes por Symantec, cuyos expertos todavía están investigando la nueva amenaza y esperan poder informar y dar detalles sobre sus características adicionales en pocos días.

Conficker prepara un nuevo ataque para el 1 de abril (20/03/2009)


conficker


Mientras los investigadores de la Universidad de Michigan están intentando averiguar de dónde viene el virus Conficker, utilizando numerosos sensores disponibles en la web, para hacer un seguimiento del “momento cero” a partir del cual se generó el gusano que ya infectó a más de diez millones de computadoras, también se dio a conocer que está previsto que el próximo 1 de abril se active una nueva versión de esta peligrosa amenaza.

Los sensores que utiliza la institución para identificar a la primera víctima de Conficker se denominan “darknet” y fueron instalados hace unos seis años en internet para hacer un seguimiento de la actividad maligna que se desarrolla en ella.

Además de los darknet, los científicos cuentan con el apoyo del Departamento de Seguridad Nacional de Estados Unidos, con el que colaboran para compartir la información recopilada de estos sensores que están instalados en todo el mundo.

“El reto es conocer todo al detalle para poder situar en el mapa dónde empezó todo”, señaló Jon Oberheide, estudiante de la mencionada universidad e implicado en el proyecto.

Obviamente no se trata de un trabajo sencillo. Para encontrar estas pequeñas pistas que pudieran detectar a la primera víctima de Conficker, los investigadores deberán indagar entre más de 50 TB de información.

Asimismo, cabe señalar que Conficker se convirtió en un complejo sistema multi-modular que continuamente muta hacia nuevas versiones, con una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo y se ayuda de servidores sin importar si están comprometidos o no por su ataque.

Algunos analistas del sector ya están comparando la eficacia de este código malicioso con la de “Storm Worm” o “Storm Virus”, que se popularizó a finales de 2006 como malware de rápida distribución, con decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de spam en la bandeja de entrada de los email.

Con respecto al proyecto de investigación relacionado con la actividad vírica en Internet, no es la primera vez que se pone en marcha una idea de este tipo, dado que en el 2005 los militares estadounidenses hicieron algo parecido con el gusano Witty que se propagó en 2004, y del cual se supo que fue una dirección IP europea la que inició el ataque.

Entre tanto, el éxito relativo o no de Conficker anima a las compañías antivirus a lanzar alertas de las que hacía años que no se emitían, y a poner a disposición de los usuarios herramientas gratuitas para que puedan deshacerse de este virus, que ojalá sirvan para prevenir o detener la nueva versión del ataque, prevista como dijimos, para el 1 de abril próximo.

Fuente: Red Users

Este fue mi primer post espero les sirva de algo.


Conficker: el virus mas poderoso de la historia

Anuncios

31 comentarios - Conficker: el virus mas poderoso de la historia

jksoft
Hola, te felicito, y me gustaria investigar mas de este tema de este virus/gusano, grancias, buen aporte!
NEPOMUZEN
Ya hay una solucion de como eliminar Conficker completamente del Pc.

Buena Info!!!!!!
saraga09
muy bueno che, ojala haya una solucion perdi toda la info por ese virus !!
ZelKa7
gracias muy buena info
FranBV
amigo oara ti cual es el mejor antivirus?????
negroq77
hola loca, muy buena investigacion, te falto contar nada mas como actuo hace años atras, hizo desastre en el año 2001, el nod 32 esta comprobado por varios tecnicos incluyendome que no protege nada
el avg 8.0 es el mejor junto con super anti-spyware ad-ware,
yo en este momento voy a subir la eliminacion del conficker, voy a usar tu post, para que vean la evolucion, suerte
Sdoble2
yo personalmente recomiendo :
Actualizar windows a su maxima expresion es decir no excluir ninguna actualizaci{on hasta la fecha.(aunque quien nos garantiza que M...soft no es el creador del virus), usar un buen antivirus KArspersky, AVg, Avast, NOd32, Panda, y algun antipy, Super Antispywear, Spybot Searh and Destroye, y por ultimo analizar todos los medios extraibles que compartamos teneindo siempre activado el firewall y desactivado el restaurado de sistema.
Pero yo creo qeu la mejor opcion es bajarse ubuntu y ejecutarlo como cd live por unos dias correr en este sistema operativo hasta que se sepa bien como solucionar el tema de este virus y si no quedate con ubuntu que no te arrepentiras.
Sludos
emacordoba
excelentisimo post, muy bien ordenado y demas! gracias por la info... igual no se hagan paranoia por el nuevo virus

Saludos
Diiego1987
usemos linux y estos biruchos q se vayan a ca...
vladibass
gracias por la informacion
Nachao
Conficker del orto! Infectó bocha de servidores de una de las empresas (yanqui/europea) a las que les damos soporte en el laburo...nos hizo laburar el triple
Fx_09
Muy buen post te dejo los puntos

.
.
.
.
.
.
.
.
.
.
champ97
a favoritos...mañana lo leo (si es q no tengo el fuckin virus ese )
puiti
hay un usuario que se llama sergiocarp, espero que sea una joda, porque dice de tener un programa, lo bajas y te dice kakeando la pc , se apaga, pero vuelve como estaba, pegue el re cagaso, porque es la una pc que tengo y no me da el presupuesto pa pagarme un disco ni un micro, me costo mucho tener todo lo que tengo. asique...si lo ven...tengan cuidado
Elitecba
Muy buena ivedtigacion, y mas ue completa ´´ara ser tu primer pos, saludos
chelo_zap
me encanto la info es un poco \"diabolica\" pero es bueno el aporte y coincido contigo el NOD32 a mi no me a dado dolores de cabeza soy novato sino ........
eschwartz
Excelente ....muy buena informacion...
Macfloyd
Che yo tengo ese virus en mi pc, que me perjudica otras 2 pcs en mi casa. Pero las soluciones que encontre no me sirvieron porque no me deja descargar NADA de internet. Como puedo hacer para sacarlo? No puedo actualizar antivirus ni nada por el estilo... si alguien sabe
jcspartan
Muy buen post, y gran investigacion
Shamhain
Macfloyd dijo:Che yo tengo ese virus en mi pc, que me perjudica otras 2 pcs en mi casa. Pero las soluciones que encontre no me sirvieron porque no me deja descargar NADA de internet. Como puedo hacer para sacarlo? No puedo actualizar antivirus ni nada por el estilo... si alguien sabe

Sus computadoras pueden ser entonces grandes colaboradoras en pro de matar a un servidor! En una avalancha no se le puede echar la culpa a un individuo.
edu008_1
buen post man... se agradece la info
sasori_
si el nod32 para mi es uno de los mejores antivirus ah y buen post
emmmmmma +1
mmm puede ser la verdad sabes muchom pero ese virus en omdo seguro con kav o sino con bart pe inicianbdo desde el cd (boteando) lo busco lo encuentro y lo elimino de una ya lo hice osea kav me lo detectaba y decia que lo anulacb a peo molestaba entre a modo seguro y era igual. Bart pe ya desp de todo eso sabia hasta en que rama estaba asi que lo borre de ahi pero para los que no sepan nada pueden bah si se complica quieren no formatear y salvar la info hacen asi: botean con bart pe, funciones de red no le dan desp van al disco o particion como sea porque el virus esta en la carpeta windows en alguna de las 17 ramas osea si lo desactivamos el virus queda nulo. Asi que desde total comander renombramos asi : 1ro carpeta windows le ponemos oldwin 2do carpeta archivos de preograma ( si es 7 creo que es programs files ) le ponemos oldarchc y por ultimo a la carpeta documents and setting le ponemos olddocs. Ahora rsta lo mas compli porque vamos a reinstalar windows sin perder informacion eso es asi: desp de hacer todo esto reinicias la pc y obvio no va a leer nada porque al renombrar esas carpetas lo desactivamos por ende el virus murio asi que metemos un dvd de windows y SIN FORMATEAR lo instalamos no se formatea pero no es instalar uno encima de otro eso estaria mal, solo lo instalas sin formatear. Cuando termina la instalacion y el sist op ya esta andando vas a mi pc o equipo como sea y vas a tener las carpetas del windows que estas usando y las 3 que renombraste con la info adentro (( un back up virtual seria)). Espero les sirva sino estoy a su dispocision amigos
Galaxy_SM
yo lei..no recuerdo donde..que uno de los mas potentes virus lo creo microsoft para probar que tan vulnerables son sus sistemas operativos o para poder crear un mejor antivuris o algo asi

No sé bien como es la cosa..pero para mi los virus y antivirus y toda la bola..es todo parte de microsoft
felodi
buen yo de mi parte recomiendo el nod32 antivirus 4 y nod 32 smarht security 4 son las los ultimos antivirus que ha sacado el nod32 sin embargo existe otro llamado norton antivirus de la cual es tambien muy bueno apesar uan que no creo quure pueda matar este virus cocmo dice ser sino que lo detiene y ya la enpresa nod 32 ya esta averiguando otro antivirus mejor que estos pero lo recomenderia. y men te doy gracias por el aviso te diera puntos pero soy novatos sigue hasi que prontas entarsa en la cima osea full user.
LukaEstrada +1
ZelKa7 dijo:gracias muy buena info

el kaspersky pure total security