miércoles, abril 01, 2009

Conficker

Mucho se ha hablado - incluso en la prensa generalista - sobre el troyano conficker, que se activaba hoy. De este virus hay varias versiones. Este virus se propaga a través de una vulnerabilidad presente en los servicios RPC de Windows (presente en todas las versiones: XP, 2000 y 2003), MS08-67,que permite la ejecución de código remoto. Este es el vector de infección que utiliza para propagarse. Una vez que ha conseguido infectar un ordenador, se baja una copia de si mismo, se instala en el sistema, intercepta una serie de servicios básicos para evitar su detección, y sigue intentando propagarse a otros ordenadores.

Este virus utiliza http para bajar sus actualizaciones lo cual permite ocultar el flujo de información en el tráfico de navegación normal de la misma. El troyano calcula los nombres de dominio, se baja el código, el cual está firmado para verificar que es el correcto y lo instala. Una curiosidad de este troyano es que aplica un parche al sistema para evitar que el fallo pueda ser aprovechado por otro troyano distintos.

Una cosa interesante es el algoritmo de generación de los nombres de dominio con los que intecta contactar para bajarse nuevas versiones del virus. En las dos primeras versiones, generaba 250 nombres de dominio por día. Sin embargo, la versión C genera hasta 50000 al día, de los cuales elije 500 aleatorios para contactar. Sabiendo esto, podría buscarse en las consultas de DNS qué máquinas están infectadas al conocer sus peticiones DNS. Un detalle, según el informe de The Honeynet Project, no utiliza los nombres en las cabeceras Host: de http, lo que hace que no sea fácil pararlo con una pasarela de aplicación.

Sin embargo, se ha seguido investigando en la detección del virus, se ha observado que el comportamiento de Windows a ciertas llamadas RPC es distinto si existe infección o no, y lo han implementando en un escaner.

Para quien le interese el tema, no dejéis de leer la sección 13 del documento que ha publicado The HoneyNet project, porque detrás de este virus no están unos aficionados, sino gente experimentada que está al tanto de las últimas tendencias en diseño de virus así como las técnicas de análisis de este tipo de malware.

Technorati Tags:

Referencias

  1. Containing Conficker
  2. Taming Conficker, The Easy Way
  3. Researchers find way to detect Conficker
  4. Know Your Enemy: Containing Conficker
  5. An Analysis of Conficker's Logic and Rendezvous Points

No hay comentarios: