Este virus utiliza http para bajar sus actualizaciones lo cual permite ocultar el flujo de información en el tráfico de navegación normal de la misma. El troyano calcula los nombres de dominio, se baja el código, el cual está firmado para verificar que es el correcto y lo instala. Una curiosidad de este troyano es que aplica un parche al sistema para evitar que el fallo pueda ser aprovechado por otro troyano distintos.
Una cosa interesante es el algoritmo de generación de los nombres de dominio con los que intecta contactar para bajarse nuevas versiones del virus. En las dos primeras versiones, generaba 250 nombres de dominio por día. Sin embargo, la versión C genera hasta 50000 al día, de los cuales elije 500 aleatorios para contactar. Sabiendo esto, podría buscarse en las consultas de DNS qué máquinas están infectadas al conocer sus peticiones DNS. Un detalle, según el informe de The Honeynet Project, no utiliza los nombres en las cabeceras Host: de http, lo que hace que no sea fácil pararlo con una pasarela de aplicación.
Sin embargo, se ha seguido investigando en la detección del virus, se ha observado que el comportamiento de Windows a ciertas llamadas RPC es distinto si existe infección o no, y lo han implementando en un escaner.
Para quien le interese el tema, no dejéis de leer la sección 13 del documento que ha publicado The HoneyNet project, porque detrás de este virus no están unos aficionados, sino gente experimentada que está al tanto de las últimas tendencias en diseño de virus así como las técnicas de análisis de este tipo de malware.
Technorati Tags: Conficker
No hay comentarios:
Publicar un comentario