• Tweet

El lunes pasado US-CERT advirtió de nueva variante del gusano Conficker que está circulando por la red y que es capaz de abrir una puerta trasera que podría permitir a un atacante distribuir malware.

El nuevo gusano Conficker, llamado "Conficker B++", usa una nueva puerta trasera con funcionalidad de auto actualización, dijo el CERT en un comunicado.

Microsoft dice que no hay indicación de que el sistema infectado con anteriores versiones de Conficker puedan re-infectarse automáticamente con la nueva versión, dijo el CERT.

Previas versiones de Conficker tomaron acción para prevenir alguna futura explotación de la vulnerabilidad, dijo Microsoft en un comunicado.

Hemos descubierto que la nueva variante ya no parcha el archivo netapi32.dll contra todos los intentos de explotarla. En lugar de eso, ahora verifica que haya un patrón específico en el código del shell o en la URL de una actualización de algún "payload", dijo Microsoft, quien está ofreciendo una recompensa de $250,000 por detener al gusano".

El "payload" sólo se ejecuta si es validado exitosamente por el malware. Como sea, parece que no es fácil para los autores mejorar la red del Conficker existente para adaptarla a la nueva variante.

El gusano, que apareció el año pasado, se expande dentro de agujeros en los sistemas Windows, explotando una vulnerabilidad que Microsoft parchó en octubre pasado.

Conficker también se expande vía dispositivos de almacenamiento extraíbles, como las memorias USB, y redes compartidas adivinando contraseñas y nombres de usuario.

Mientras tanto, las versiones previas de Conficker han tenido mucha actividad. "Conficker A" ha afectado a más de 4.7 millones de direcciones IP, mientras su sucesor, "Conficker B", ha afectado a 6.7 millones, de acuerdo a un reporte técnico del Instituto Internacional de Investigaciones de Stanford (SRI).