Conficker, la amenaza número 1 de Internet, obtiene una actualización

Investigadores de seguridad dicen que un gusano que ha infectado a millones de computadoras en todo el mundo ha sido reprogramado para fortalecer sus defensas al mismo tiempo que intenta atacar a más máquinas.

Conficker, que aprovecha una vulnerabilidad en el software de Microsoft, ha infectado al menos 3 millones de PC y posiblemente hasta 12 millones, convirtiéndola en una enorme red zombi y uno de los problemas de seguridad informática más graves en los últimos años.

Las redes zombi pueden utilizarse para enviar spam y atacar otros sitios web, pero necesitan poder recibir nuevas instrucciones. Conficker puede hacer esto de dos maneras: puede intentar visitar un sitio web y recoger instrucciones, o puede recibir un archivo a través de su red P-to-P (Peer-to-Peer) encriptada y personalizada.

[Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Durante el último día más o menos, los investigadores de Websense y Trend Micro dijeron que algunas PC infectadas con Conficker recibieron un archivo binario a través de P-to-P. Los controladores de Conficker se han visto obstaculizados por los esfuerzos de la comunidad de seguridad para obtener direcciones a través de un sitio web, por lo que ahora están usando la función P-to-P, dijo Rik Ferguson, asesor de seguridad senior para el proveedor Trend Micro.

El nuevo binary le dice a Conficker que comience a buscar otras computadoras que no hayan reparado la vulnerabilidad de Microsoft, dijo Ferguson. Una actualización previa desactivó esa capacidad, lo que insinuó que los controladores de Conficker tal vez pensaban que el botnet había crecido demasiado.

Pero ahora, "ciertamente indica que [los autores de Conficker] están buscando controlar más máquinas", dijo Ferguson.

La nueva actualización también le dice a Conficker que se comunique con MySpace.com, MSN.com, Ebay.com, CNN.com y AOL.com aparentemente para confirmar que la máquina infectada está conectada a Internet, dijo Ferguson. También bloquea las PC infectadas de visitar algunos sitios web. Las versiones anteriores de Conficker no permitían que las personas navegaran hacia los sitios web de las empresas de seguridad.

En otro aspecto, el binario parece estar programado para dejar de funcionar el 3 de mayo, lo que apagará las nuevas funciones, dijo.

No es la primera vez que Conficker ha sido codificado con instrucciones basadas en el tiempo. Los expertos en seguridad informática se preparaban para una catástrofe el 1 de abril, cuando Conficker tenía previsto visitar 500 de los aproximadamente 50.000 sitios web aleatorios generados por un algoritmo interno para obtener nuevas instrucciones, pero el día transcurrió sin incidentes.

También preocupante es que la nueva actualización le dice a Conficker que se comunique con un dominio que se sabe está afiliado a otra botnet llamada Waledec, dijo Ferguson. El botnet Waledec creció de una manera similar al gusano Storm, otro botnet grande que ahora se ha desvanecido pero que se usaba para enviar spam. Significa que tal vez el mismo grupo podría estar vinculado a las tres botnets, dijo Ferguson.

A pesar de que Conficker no parece haber sido usado todavía para fines maliciosos, sigue siendo una amenaza, dijo Carl Leonard, una investigación de amenazas. gerente de Websense en Europa. La funcionalidad P-to-P indica un nivel de sofisticación, dijo.

"Es evidente que se han esforzado mucho para reunir este conjunto de máquinas", dijo Leonard. "Quieren proteger su entorno y lanzar estas actualizaciones de la mejor manera en que puedan capitalizarlas".

No todas las computadoras infectadas con Conficker necesariamente se actualizarán rápidamente. Para usar la funcionalidad de actualización P-to-P, una PC infectada con Conficker debe buscar otras PC infectadas, un proceso que no es inmediato, Ferguson.

Dado que los expertos en seguridad difieren enormemente sobre cuántas computadoras pueden estar infectadas con Conficker, es difícil decir qué porcentaje tiene la nueva actualización.

Trend Micro y Websense advirtieron que sus hallazgos son preliminares, ya que la actualización binaria aún se está analizando.

Aunque Microsoft emitió un parche de software de emergencia el pasado octubre, Conficker ha continuado aprovechando aquellas PC que no han sido reparadas. De hecho, algunas variantes del Conficker corregirán la vulnerabilidad una vez que la máquina esté infectada, de modo que ningún otro malware pueda aprovecharla.