Conficker a través de Autorun

Conficker (o Downadup) se ha transformado en una verdadera epidemia tal y como lo indica nuestro Reporte de amenazas de Diciembre y, en los últimos días, sus creadores han puesto énfasis en multiplicar sus técnicas de infección, ampliándolas a través de recursos compartidos, explotación de claves débiles y a dispositivos de almacenamiento removibles.

Este último caso es el que nos ocupa, ya que las nuevas variantes de Conficker han comenzado a utilizar al técnica de Autorun para maximizar las probabilidades de infección. A continuación vemos un archivo autorun.inf que aparentemente se encuentra dañado o que ha sido “cifrado” de alguna manera para que el mismo no sea válido:

Contenido del archivo Autorun.inf

Si se mira con atención, al final puede apreciarse que existen comandos válidos. En realidad, el archivo incluye código basura (una forma común de ofuscamiento). El sistema operativo, al no “comprender” su contenido, simplemente lo ignora y toma en consideración las líneas que es capaz de interpretar. Entonces, en realidad se trata de la ejecución automática del gusano (en este caso el archivo jwgkvsq.vmx, siendo este nombre aleatorio).

La explicación de porqué utilizar la conocida técnica de infección en dispositivos removibles es sencilla: supongamos que una organización protege adecuadamente sus recursos informáticos para evitar las infecciones originales de este gusano (actualización, firewall y antivirus), a través de la explotación de la vulnerabilidad en el protocolo RPC. Si fuera así, el gusano tendría un ciclo de vida corto.

Al incorporar nuevas técnica de infección, sus creadores se aseguran que de alguna manera, el gusano ingrese a las organizaciones protegidas, por métodos alternativos a los explotados originalmente.

Esto es lo que le ha valido a Conficker para ser una de la amenazas de mayor reproducción y que más dolores de cabeza esté trayendo a los usuarios y administradores de red. Como siempre ESET NOD32 detecta Conficker y sus últimas variantes que utilizan Autorun, como puede verse a continuación:

Contenido del archivo Autorun.inf

Por favor no deje pasar más tiempo y tome las medidas preventivas necesarias porque parece que Conficker llego para quedarse un tiempo.

Actualización: más información sobre Conficker en nuestro Blog.

Cristian

Autor , ESET

  • Gracias por documentarlo…

  • Quiero aportar una solucion facil y practica. Este tema de los “virus” autorun.inf ya me tienen harto! porque me lo traia en el Pen Drive (USB flash) cada vez que lo conectaba en alguna maquina infectada. Al margen de borrarlo, este volvia a aparecer. La solución que encontré y ya no me molesto mas desde hace meses, es crear un “carpeta con el nombre autorun.inf y dentro poner un archivo cualquiera (con mismo tipos de atributos)”, un “archivo con nombre recycler” en cada disco, y sobre todo en el Pen Drive. Como Windows no puede crear un archivo con el mismo nombre que una carpeta, mi PenDrive quedo protegido de volver a infectarse. En caso de que un virus intente crear un archivo “autorun.inf” este no podra porque esxite una carpta con ese nombre y en caso de que el virus quiciera generar una carpeta con nombre “recycler” no podra porque ya existe un archivo con dicho nombre. ;) Algo muy importante a la hora de crear este archivo y carpeta, es poner lo atributos como ocultos y de sistema!

    Saludos a todos y espero que sirva mi aporte

    • Gracias drnocho:

      Efectivamente es como mencionas y como medida preventiva es eficaz. Una contra que puede tener el método es si el gusano previamente verifica los nombres de carpeta y archivos, los elimina y crea los propios.
      Seguramente publiquemos el “truco” en un futuro cercano para que otros usuarios se hagan eco del mismo.

      Gracias

      Cristian

  • neroxiv

    Si bien es cierto, todos los antivirus detectan y eliminan cuando el archivo Autorun.inf se copia en las memorias USB, el asunto es que los antivirus no detectan la raiz del problema, aquel archivo que genera la orden de copiado del autorun.inf en las memoria USB. Tenia el problema en una cpu que al concectar el USB el virus se copiaba en el e inmediantamente el antivirus lo detecta y elimina o pone en cuarentena, pero a los pocos segundos otra vez la misma alerta y asi hasta retirar el USB las alertas no cesan, el mismo USB lo inserto en otra cpu limpia con antivirus actualizado y no pasa nada, reviso los archivos ocultos y de sistema y se ven la carpeta SYSTEM y dentro la carpeta RECYCLER_x_x_x_x las cuales son inofensivas y se pueden eliminar sin problemas, lo que significa que el virus esta residente en la otra cpu pero ni el antivirus ni los antitroyanos lo detectan. La solucion, tuve que formatear la cpu y problema resuelto, pero que pasa si son 5, 10 o mas las maquinas infectadas, no basta con actualizarlas con todos los parches de microsoft porque el problema sigue, me gustaria saber que opinan de esto.

    • Hola neroxiv:

      En realidad lo que dices se puede cumplir para cualquier malware de autorun y no solo Conficker. Dependiendo de la forma de detección puede suceder que se detecte el malware y el autorun, el malware sólo o el autorun sólo.

      Cristian

  • Pingback: Cómo protegerse de un virus que anticipa una posible hecatombe informática | Techlatina.com()

  • Pingback: Foro contra Malwares » Nueva variante y funcionalidades de Conficker()

  • alessandro

    garcias
    por
    el
    aporte
    es
    muy
    bueno
    lo
    que
    dices..!!

  • Pingback: Remember the function Autorun?, IT’s DEAD!!!! |()

Síguenos