La hora cero de Conficker llega sin evento, pero

Una activación esperada del gusano Conficker.c en la medianoche del 1 de abril transcurrió sin incidentes, a pesar de los temores sensacionalistas de que Internet podría verse afectada, pero los investigadores de seguridad dijeron que los usuarios aún no están fuera de peligro.

"Estos los muchachos no tienen ningún diseño, creo, para derribar la infraestructura, porque eso los separaría de sus víctimas ", dijo Paul Ferguson, un investigador de amenazas del fabricante de antivirus Trend Micro, y calificó la tecnología y el diseño de Conficker.c como" casi estado del arte. "

" Quieren mantener la infraestructura en su lugar para que sea mucho más difícil para los buenos chicos contrarrestar y mitigar lo que han orquestado ", dijo.

[Más información: cómo para eliminar el malware de su PC con Windows]

The Worm Stirs

Conficker.c fue programado para establecer un enlace desde computadoras host infectadas con servidores de comando y control a la medianoche GMT del 1 de abril. Para llegar a estos servidores de control, Conficker.c genera una lista de 50,000 nombres de dominio y luego selecciona 500 dominios nombres para contactar Ese proceso ha comenzado, dijeron los investigadores.

Todavía no se conoce exactamente cuántas computadoras están infectadas con Conficker.c, pero la cantidad estimada de sistemas infectados por todas las variantes del gusano Conficker supera los 10 millones, lo que hace que este sea uno de los más grandes. botnets visto alguna vez.

Mientras que las computadoras infectadas comenzaron a llegar a los servidores de comando como se esperaba, nada ha sucedido.

"Hemos observado que Conficker está tratando de comunicarse, pero hasta ahora ninguno de los servidores están intentando alcanzar. están sirviendo cualquier malware nuevo o cualquier comando nuevo ", dijo Toralv Dirro, estratega de seguridad de McAfee Avert Labs, en Alemania.

Esto puede significar que las personas que controlan Conficker están esperando el momento, esperando que los investigadores y los gerentes de TI relajen la guardia y supongan que lo peor ya pasó.

"Sería bastante estúpido que los muchachos que dirigen Conficker usen la primera oportunidad posible, cuando todo el mundo está muy entusiasmado y lo mira con mucho cuidado", dijo Dirro. "Si algo iba a suceder, probablemente sucedería en un par de días".

Detecciones, Innoculaciones Aumentan

El tiempo no está del lado de Conficker. El gusano puede ser detectado y eliminado fácilmente por los usuarios. Por ejemplo, si una PC no puede acceder a sitios web como McAfee.com, Microsoft.com o Trendmicro.com, eso indica que la computadora puede estar infectada.

Además, los administradores de TI pueden detectar fácilmente el tráfico que viene desde nombres de dominio impares y bloquea el acceso a las computadoras en las redes de su compañía. "Mientras más tiempo esperen los delincuentes, menos huéspedes infectados tienen", dijo Dirro.

La ayuda adicional proviene de una coalición de proveedores de seguridad y otros, llamada Conficker Working Group, que se ha unido para bloquear el acceso a dominios que Conficker está tratando de comunicarse con. Pero no está inmediatamente claro si esos esfuerzos, que han sido exitosos para bloquear versiones anteriores del gusano, serán efectivos contra la activación de Conficker.c.

"Realmente no podemos decir qué tan exitosos fueron los intentos de bloquearlos o no enrutarlos es ", dijo Dirro. "Eso es algo que veremos cuando el primer dominio realmente empiece a servir malware, si al menos uno comienza a hacerlo".

A pesar de la fecha límite de activación, la amenaza presentada por Conficker sigue siendo real.

"Estos los muchachos son muy sofisticados, muy profesionales, muy decididos y muy medidos en cómo implementan y hacen cambios en las cosas ", dijo Ferguson, y agregó que Conficker.c está mejor defendido y tiene más capacidad de supervivencia que las versiones anteriores del gusano. "Esta activación el 1 de abril fue probablemente arbitraria y se eligió para causar histeria".

En algún momento, las personas detrás de Conficker.c podrían tratar de generar ingresos a partir de la botnet que crearon o podrían tener otras intenciones.

"El gran misterio es que hay una gran pistola cargada, esta red de millones de máquinas que está bajo el control de personas desconocidas", dijo Ferguson. "No dieron ninguna indicación de cuáles son sus motivos, aparte de jugar con la gente".