En los últimos días ha sido publicada, por innumerable cantidad de medios, la noticia de una nueva variante de Conficker, que se "activará el 1 de abril". Hemos recibido gran cantidad de consultas de usuarios preocupados por lo que pudiera pasar a partir de ese día (curiosamente el día de los inocentes en Estados Unidos).

En primer término dejemos en claro qué ocurrirá ese día: una familia de variantes de Conficker, creadas en el mes de marzo, ha sido realizada con una modificación respecto a sus predecesoras. Las primeras variantes consultaban diariamente un listado de dominios en búsqueda de actualizaciones del malware desde el momento en que se alojaban en el sistema. En este caso, el malware comenzará a consultar dominios pseudo-aleatorios a partir del primer día del mes de abril (y el número de dominios a consultar será mayor).

Esta nueva variante es detectada proactivamente por ESET NOD32 como Win32/Conficker.X (dese diciembre de 2008), y a la fecha no ocupa siquiera el 2% de detecciones, según nuestro Servicio Estadístico de Alerta Temprana, ThreatSense.Net, en el mes de Marzo.

Es decir, que esta nueva variante no debería preocupar más que el resto de las versiones de Conficker, que es encontrada en mayor proporción (aún ocupando los primeros lugares de detección a nivel mundial) y que todos los días están buscando actualizaciones.

Incluso esta nueva variante explota únicamente la vulnerabilidad en productos Microsoft, como lo hacía Conficker.A, sin explotar otras técnicas como la utilización del archivo autorun en dispositivos USB o la propagación por recursos compartidos con contraseñas débiles. Es decir que esta "nueva" variante podría ser más peligrosa  como no, ya que no se sabe que funciones puede incorporar.

Es igualmente probable que variantes anteriores actualicen hoy, como que esta nueva lo haga el primero de abril, como que esto ocurra el 10 de abril o cualquier otra fecha. Cualquiera de estas situaciones es posible. La realidad indica que más allá de cualquier noticia oportunista, Conficker continúa infectando equipos y sigue siendo una amenaza latente para los usuarios.

Por lo tanto, recuerden las medidas de seguridad para estar protegidos:

  • Tener actualizados todos los sistemas Windows en la red, específicamente la actualización crítica MS08-067 .
  • Deshabilitar la ejecución automática de dispositivos USB, para evitar la infección a través del archivo autorun.
  • Proteger los recursos compartidos en red con contraseñas fuertes, para evitar la propagación por este medio.
  • Tener instalada una solución antivirus con capacidades proactivas de detección ante amenazas nuevas y desconocidas.

Sebastián