El Gusano informático Conficker C

Has notado que tu computadora ha dejado de actualizarse, que tu antivirus no se ejecuta al inicio o que el firewall de tu maquina se ha deshabilitado.
 
Si una o varias de estas condiciones se cumple lo más probable es que tu computadora este infectada por un Gusano informático Conficker en cualquiera de sus versiones o algún otro Gusano similar.

En este documento mencionare los aspectos sobresalientes del gusano Conficker C.

 
Este Gusano pasa de una computadora a otra explotando 3 diferentes fallos de seguridad como son:

• La vulnerabilidad MS08-067 en el servicio de servidor
• Un ataque de diccionario en los recursos compartidos como ADMIN$
• Creando aplicaciones auto ejecutables en los dispositivos de almacenamiento extraíbles como son las memorias USB

Cuando se inicializa la DLL ejecuta su lógica de instalación similar a las versiones A y B con algunas adiciones.

En la inicialización revisa la presencia de 3 valores mutex (exclusión mutua) para evitar una reinfeccion, en caso de no encontrarlos los genera y son:

• El mutex llamado “Global\-7”.
• El mutex llamado “Global\-99”.
• Y uno más con un numero semi aleatorio basado él en Identificador de proceso.

El valor de “” en los dos primeros mutex es único por cada computadora y es calucado en base en el resultado del algoritmo crc32 aplicado al nombre de la computadora y despues calculado con el operador XOR de una constante.
 
Después instala segmentos de código en las librerías DLL en ejecución y ejecuta algunos mecanismos para deshabilitar las aplicaciones de seguridad que de otro modo detectarían su presencia.
 
A continuación modifica el servicio de nombres de dominio (DNS) para bloquear las conexiones en Red a sitios relacionados con la seguridad e instala seudo parches para reparar la vulnerabilidad en el puerto TCP 445 en tanto que mantiene una puerta trasera para permitir una reinfecion. Esto impide el acceso a otros orígenes de ataque diferentes a los desarrollados por los autores de este Gusano.
 
Este Gusano en particular incorpora mecánicas para defenderse a si mismo de los productos de seguridad que de otra manera lo detectarían y eliminarían, como son Windows Defender, Windows Update y establece una tarea que termina la ejecución de los productos de seguridad monitoreando constantemente la inicialización de nuevos procesos cuyos nombres estén dentro de una lista de 23 productos de seguridad, actualizaciones y herramientas de diagnostico de seguridad.
 
Lo interesante de este Gusano informático, es que dada su complejidad resulta verdaderamente difícil de eliminar, siendo que para los usuarios o administradores de sistemas no experimentados, les resultara verdaderamente difícil detectarlo y eliminarlo.
 
Para eliminarlo Microsoft ha puesto a disposición la Herramienta de Remoción de Software Malicioso (Microsoft® Windows® Malicious Software Removal Tool) http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en, y recomienda después de esta herramienta aplicar los parches de seguridad faltantes al equipo infectado.
 
Como te habrás dado cuenta, la remoción de este Gusano no se realizo con un antivirus regular. ¿Sorprendido?
 
Este texto es una pequeña transcripción de http://mtc.sri.com/Conficker/addendumC/index.html mas la anexión de algunos comentarios personales y la referencia de una herramienta de eliminación de este Gusano.