lunes, abril 13, 2009

Conficker: Una red P2P incorporada y actualización del virus

He leído el análisis de Sophos del virus. Del me interesa especialmente el mecanismo de red P2P que incorpora . Recogido en el punto tres del documento, el mecanismo que utiliza un hilo para sincronizar el tiempo, varios hilos para buscar activamente otros ordenadores infectados por el virus y por último un hilo que escucha las posibles conexiones entrantes.

Los puertos donde escucha el virus para conexiones es derivado de la dirección IP de la máquina y del tiempo que obtenga de diversos servidores de Internet. Los hilos que buscan otros ordenadores infectados, usan el mismo algoritmo a partir de las direcciones remotas para escanear que haya. De esta manera se evita tener una lista de servidores iniciales a los que conectarse para obtener información de ordenadores infectados y funcionar de manera distribuida. Y una vez pasado todo el revuelo mediático sobre la activación del virus el 1 de abril, se sabe ya que los autores han actualizado el virus, a través de este mecanismo P2P.

Para detectar esta red P2P la gente de Snort ha desarrollado un preprocesador para la detección del Conficker.C.

Una curiosidad de la sofisticación y los actualizado de este virus es el uso del algoritmo de hash MD6, apareciendo en las versiones del Conficker.B a finales de Diciembre, cuando el algoritmo fue publicado. Los autores del virus demuestran un vasto conocimiento de criptografía, protocolos de Internet, ofuscación de código y técnicas de infección.

Referencias

  1. Conficker
  2. Conficker gang updates worm via peer-to-peer
  3. Conficker wakes up to push spam and... scareware?
  4. Conficker C Analysis
  5. W32.Downadup.E Back to Basics

Technorati Tags: , ,

Publicado por el
Tags ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)