8 abr. 2009

Conficker tiene un imitador





A pesar de que la tercera versión de Conficker supuestamente preparada para actuar el 1 de abril finalmente no tuvo lugar, lo que sí apareció por esos días es una nueva versión de un viejo virus llamado Neeris, que data de mayo del 2005 y curiosamente se reactivó el 31 de marzo, sacando partido del mismo agujero en Windows que Conficker y propagándose a través de unidades flash.

Según Ziv Mador y Aaron Putnam, investigadores del centro de protección de malware de Microsoft, los creadores de Neeris copiaron algunas de las estrategias de infección de Conficker para aprovechar la vulnerabilidad MS08-067 que la firma parcheó el pasado mes de octubre.

Si este ataque se llevara a cabo con éxito, la máquina de la víctima descargaría una copia de Neeris desde la máquina atacante a través de http, y también podría expandirse a través de la función AutoRun con la misma opción de reproducción que usa Conficker a través de la función “Abrir carpeta para ver los archivos”.

Neeris comenzó siendo un bot que se expandía enviando enlaces a través de MSN Messenger, pero ahora tiene más métodos de expansión, dado que las últimas variedades pueden difundirse tanto a través de unidades extraíbles de almacenamiento como de servidores SQL.

Además, debido a su similitud con Conficker, se aconseja llevar a cabo los mismos métodos de detección y eliminación que contra este gusano, instalar el parche MS08-067, y desactivar la función de AutoRun en el sistema operativo.

Como Neeris en realidad es previo a Conficker, se llegó a creer que los autores de este último usaron sus muestras para diseñarlo, pero como los desarrolladores de Neeris sumaron funcionalidades de Conficker más tarde, lo más probable es que los padres de las criaturas podrían estar colaborando entre sí o en conocimiento de las mejoras de cada uno de dichos gusanos.

No hay comentarios: