Como era de esperar el pasado 7 de abril apareció una nueva variante del gusano Conficker detectado por proactivamente por heurística desde el comienzo por ESET y luego bautizado como Win32/Conficker.AQ.

Esta nueva variante tiene dos componentes principales. El servidor es un componente EXE que infecta sistemas vulnerables en la red usando la misma vulnerabilidad anterior descrita en el Boletín MS08-067 de Microsoft. Este componente instala el cliente, un archivo DLL, que tiene el fin de reclutar máquinas para la Botnet que está creando Conficker desde el comienzo. También hay otro componente "driver" en el servidor que es el encargado de buscar otros sistemas vulnerables para explotar la vulnerabilidad.

El mecanismo de infección permanece constante como en las versiones anteriores:

  • Se descarga el código de la DLL desde el servidor HTTP proporcionado por el servidor (el archivo. EXE) al sistema víctima
  • El gusano inicia un servidor HTTP en un puerto aleatorio
  • Se conecta a máquinas remotas a través de TCP/139 y TCP/445 en un intento de explotar la vulnerabilidad RPC en otras víctimas

Si bien todavía nos encontramos analizando esta nueva variante, como novedad aparece que el componente servidor se desactiva y elimina después 3 de mayo, aunque el cliente seguirá estando activo y; esta versión ya no se pone en contacto con los 50.000 dominios tan promocionados de la versión que apareció el primero de abril. Esta nueva variante Win32/Conficker.AQ sólo se comunica con su propia red Peer-to-Peer mediante la cual es realizada toda la comunicación de la Botnet. Tampoco se utiliza el componente de Autorun de las versiones anteriores.

Actualmente, algunos informes asocian a Waledac con Conficker, con su difusión de spam y con la distribución de rogue y, aunque es probable que sus autores estén relacionados, también es posible que la botnet del primero haya sido alquilada para propagar el segundo.

Mientras tanto, los clientes de ESET no tienen de que preocuparse ya que como dije la nueva variante es detectada y también trabaja sin problemas nuestra herramienta de eliminación de Conficker. Y, ¿usted ya parcheo? Si no lo hizo hágalo inmediatamente.

Cristian