(Por El Microsaurio) Conficker, el gusano de Internet que otros llaman Downadup, sigue metiéndose en pecés no emparchadas. Pero su diseñador todavía no lo usó a full; lo peor está por venir. Hay recompensa para quien delate a Damocles: 250 mil verdes.
Lo comenté en Tecnozona del 28 de noviembre. En esa fecha había muchos miles de máquinas que, al no estar emparchadas contra el defecto mencionado en el Boletín de Seguridad Microsoft MS08-067, se infectaban con Conficker/Downadup. El boletín y el parche habían aparecido el 23 de octubre, un "parche fuera de programa" que respondió a los gritos destemplados de los clientes corporativos de la Empresa Ventanesca. Pero un mes después, el personal de F-Secure informaba que calculaban en "millones" a las máquinas infectadas (eso fue lo que dio motivo a mi nota de noviembre). En cuanto Tecnozona febrereó, lo repetí (el 5) y ahora les tengo que pedir, muy preocupado, que emparchen o se les viene la noche.
La cosa se puso muy pesada; entre Symantec y F-Secure están discutiendo si las máquinas infectadas son dos millones o diez millones, como si eso hiciera alguna diferencia (¡estamos hablando de millones, muchachos!!) y la gente de Microsoft tomó la decisión de publicar una oferta de recompensa: un cuarto de millón de dólares al que traiga datos ciertos para agarrar al diseñador del gusano.
Dentro del código de Conficker está la respuesta para quienes se preguntan porqué este tema es importante, serio, grave, rejodido. Luego de infectar una máquina no emparchada, Conficker hace un listado de las compus que estén en la misma red interna y se copia en ellas. El diseñador del gusano está estableciendo una extensa red de máquinas parasitadas, que duermen esperando órdenes. Para conocer la extensión de su éxito infeccioso, el diseñador puso código que hace que las PC-víctimas se comuniquen con direcciones web que se van actualizando todos los días, ya que los investigadores y varios ISP grossos están tras los pasos de la red de esclavos y tratan de desconectar esos websites a medida que son descubiertos. Es un juego de gato y ratón donde, por ahora, va ganando el ingenioso desgraciado, probablemente ucraniano, que escribió el gusano.
Si no tenés más remedio, bajá el parche a mano e instalalo. Aunque, claro, instalar un parche sin haber puesto en el sistema los quince o veinte anteriores, puede romper algo, sobre todo tratándose de parches de Windows. Pero de verdad, la cosa está más que fea.
Y en cuanto a la referencia a don Damocles, obedece a un comentario de Thomas Cross, un investigador de la X-force de ISS, ahora de IBM, que apareció en SearchSecurity : "la motivación es financiera, estamos esperando que se ordene al gusano un ataque de denegación de servicio dirigido contra una empresa o un website".
Te recuerdo que en varios casos, el ataque no se ha producido si la empresa afectada pagó "protección". Un tema de chorros, nomás. Porque cada vez más, cuando algo se rompe en la Red, es porque algún muchacho salió de caño. Cuídense.