En resumen Conficker es un gusano (worm) que hasta ahora ha estado durmiendo, sin embargo, en reportes recientes y análisis de ingeniería inversa del código se descubrió una fecha de posible activación del mismo, esta fecha es hoy 1ero. de Abril del 2009.

Hasta ahora no hay nada significativo que reportar. Muchas organizaciones han sido muy pro-activas en la exploración de sus redes en busca de sistemas sin parchar o máquinas ya infectadas con el virus, que luego son reparadas o removidas de la red. Se estima que puede haber afectación en los servidores de Dominio muy utilizados en las redes basadas en Windows, debido a los ataques de fuerza bruta que puede lanzar el gusano contra las credenciales de los distintos usuarios. El grupo de trabajo de Conficker (www.confickerworkinggroup.org) ha estado trabajando horas extras para contactar a los dueños de bloques de redes que tienen señales de estar infectados. Su sitio web ha estado indispuesto por momentos debido al gran interés que ha generado el tema, lo que supones que es una cosa buena. Insecure.org también sufrió condiciones de DoS por algunos momentos cuando salió la versión actualizada de la herramienta nmap que permite encontrar máquinas infectadas con el gusano. En resumen este ejercicio ha sido una buena oportunidad para las organizaciones para revisar sus procedimientos de parcheo de sistemas y cumplimiento con estándares. También es una buena razón para buscar y proteger cualquier sistema embebido que corra versiones antiguas de Windows a los que no se les puede aplicar el parche, para protegerlos o reemplazarlos.

¿Qué va a pasar realmente el 1ero. de Abril?

A medida que los reportes continúan llegando y el mito se mezcla son los hechos, quisimos traer una lista de hechos que sucederán o están sucediendo en este momento, hasta ahora sabemos esto:

  1. La activación del gusano el día 1 de Abril del 2009 no es una broma (hoax) del día de los tontos (April’s fool), realmente pasará.

  2. El gusano Conficker (también conocido como Downadup) empezara a conectarse a 500 dominios distintos de Internet cada día, tratando de buscar actualizaciones del código; inicialmente se había reportado que el número era de 250 dominios.

  3. La funcionalidad de conexión mediante redes P2P que se reporto en la versión nueva del gusano, ya existe en la versión inicial.

  4. SRI tiene un artículo de análisis muy completo del gusano aquí.

Basado en estos hechos el Internet Storm Center (isc.sans.org) estima que el día de hoy será un día más o menos normal, sin embargo, la situación debe ser monitoreada muy de cerca.

Fuente:

http://isc.sans.org/diary.html?storyid=6103

http://isc.sans.org/diary.html?storyid=6091