GrupoGeek

Hasta el jueves pasado, el virus Conficker se dedicó únicamente a transmitirse y contagiar la mayor cantidad de computadoras posibles. Pero ahora, el gusano comenzó a instalar una aplicación antivirus falsa llamada SpywareProtect 2009 en las máquinas infectadas.

Según un informe de Kaspersky, el gusano comenzó a usar la función peer-to-peer para transmitir nuevos archivos, incluyendo actualizaciones y el antivirus falso. La falsa aplicación aparece con la táctica de identificar amenazas en la computadora, para luego ofrecer limpiar la PC por US$ 49.95.

Además de la aplicación, Conficker se está actualizando en su variante .E que permitirá al gusano volver a propagarse a través de otra vulnerabilidad de Windows (MS08-067), e intentará detener los programas y bloqueos que existen hasta ahora para así alcanzar nuevos dominios. La nueva actualización suma también un mecanismo de autodestrucción para borrar automáticamente el gusano después del 3 de mayo de 2009.

Si aparece un pop-up en el navegador u algún otro indicador, es importante saber si la computadora está realmente infectada o no. Un buen método para averiguarlo consiste en ingresar en sitios de seguridad informática y antivirus. El Conficker suele bloquear el acceso a dichos sitios para evitar que el usuario pueda descargar un antivirus o actualización de seguridad. El Conficker Eye Chart permitirá ver rápidamente si la computadora está infectada o no, al mostrar seis imágenes de sitios de antivirus. Si no podemos ver alguna de estas imágenes, probablemente nuestra computadora se encuentre infectada.

Vía: PC World

El primero de abril pasó, y el virus Conficker no trajo mayores consecuencias en nuestras computadoras de acuerdo al informe de un sitio especializado. Pero aparentemente el Conficker todavía sigue siendo una amenaza. Según un grupo de empresas unidas en torno al virus (el Conficker Working Group), el Conficker es la infección mundial de computadoras más grande desde el SQL Slammer del 2003. Se estima que entre 3 y 15 millones de computadoras fueron infectadas, y un 30 porciento de los Windows instalados no fueron actualizados para protegerse contra Conficker. Los autores del virus podrían comunicarse con su creación, pero esa capacidad fue reducida de manera significativa.

Además, el informe agrega que la mayoria de las infecciones se están dando en Asia y América Latina, en donde los Windows no son actualizados por tratarse de copias piratas. Los Estados Unidos representan tan solo el 6 % de las infecciones mundiales. Como la mayoria de los usuarios desactivan la actualización automática, estos se vuelven más vulnerables al virus. Así el riesgo de la infección continua, incluso con Microsoft permitiendo las actualizaciones críticas para sus copias piratas.

En estos momentos, el Conficker se expande de manera pasiva a través de páginas web, contagiando sitios de manera aleatoria. Seguramente mantendrá este comportamiento hasta recibir otras instrucciones. El problema es que una vez que Conficker reciba las nuevas instrucciones, las infecciones aumentarán por su capacidad de contagiarse por p2p.

Los expertos aseguran que el Conficker fue creado para robar información u otras formas de cybercrimen. Probablemente esté controlado por un grupo en Asia, este de Europa o América Latina, e incluso podría vender el virus al volverse activo. Como mencionamos anteriormente, lo mejor que se puede hacer por el momento es actualizar Windows e instalarse un buen antivirus.

Vía: PC World

La compañía de seguridad Symantec publicó una de las posibles formas en que el virus Conficker atacará las computadoras de los usuarios. El inminente ataque, esperado para el 1 de abril, se produciría través de los enlaces de los resultados de las búsquedas en Google de las palabras Downadup / Conficker, los dos virus más buscados.

De esta manera, simplemente buscando Conficker C, Google muestra en la primera página de los resultados un enlace a un sitio infectado que muestra un falso programa antivirus. Si un usuario ingresa en la página, aparecerá una ventana falsa de análisis que terminará infectando al sistema.

Al mismo tiempo, la compañía sostiene que sus productos podrán detectar la amenaza a través de una firma denominada ”HTTP Fake Scan Webpage”. De esta manera el sitio queda bloqueado para la computadora. Si de alguna forma el usuario logra ingresar al sitio, el archivo sería detectado como Downloader.Misleadapp, para luego ser automáticamente bloqueado.

Como advertimos anteriormente desde GrupoGeek, se espera el ataque del Conficker para el día de mañana, nuestra recomendación para los usuarios es que instalen las últimas actualizaciones de Windows, actualizen también el antivirus y su base de datos y, por supuesto, tengan mucha precaución al momento de navegar.

Vía: Symantec Blog