Downadup.B/Conficker.B se trata de una variante del ya conocido gusano Downadup/Conficker. La siguiente alerta de seguridad muestra información de interés acerca de los métodos de propagación y funcionamiento del gusano, así como de técnicas para detectar si una máquina está comprometida y como prevenir un ataque. METODO DE PROPAGACIÓN ===================== El gusano se propaga a través de la explotación de una vulnerabilidad en el servicio RPC de Windows (MS08-067) que permite la ejecución de código de manera remota. El gusano también trata de propagarse a través de recursos compartidos por contraseñas débiles y bloquea el acceso a páginas webs relacionadas con seguridad. ANALISIS DETALLADO DE FUNCIONAMIENTO ==================================== Sistemas Operativos Afectados: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000 Una vez ejecutado el archivo dañino, Downadup.B busca las siguientes entradas en el Registro de Windows y, en caso de que no existan, las crea: * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0" * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0" * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0" * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0" Downadup.B crea un nuevo servicio con las siguientes características: Nombre del servicio: [ruta de acceso al gusano] Nombre para mostrar: [Nombre de servicio generado por el gusano] Tipo de inicio: Automático Elimina los puntos de restauración creados por el usuario. Para los siguientes servicios: Background Intelligent Transfer Service (BITS) Servicio de Actualizaciones Automáticas (wuauserv) Modifica el límite de conexiones establecido por Windows XP SP2 en el fichero: [Directorio Windows]\drivers\tcpip.sys Intenta ocultarse en el sistema añadiendo la siguiente clave al registro de windows: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue=0 El gusano busca el recurso compartido $ADMIN y a través de diccionario intenta acceder y copiarse en él. En el caso de que lo consiga, se copia con el siguiente nombre: [Nombre]\ADMIN$\System32\[Nombre_Aleatorio].dll Crea un trabajo en el servidor remoto: rundll32.exe [Nombre_Aleatorio].dll, [Cadena_Aleatoria] Intenta conectar con las siguientes URL's para obtener la IP externa del equipo infectado: http://www.getmyip.org http://www.whatsmyipaddress.com http://getmyip.co.uk http://checkip.dyndns.org Crea una regla en el Firewall que permita a atacantes remotos conectarse y descargar a través de un puerto aleatorio. Envía esta URL a equipos remotos, y crea un servidor HTTP en el equipo infectado y en un puerto aleatorio que sigue el siguiente formato: http://[IP equipo infectado]:[Puerto Aleatorio] Intenta copiarse a cualquier unidad del siguiente modo: [Unidad]\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[nombre de fichero aleatorio].dll Intenta crear el siguiente archivo en cualquier unidad que le sea posible para autoejecutarse cuando se acceda a la unidad: [Unidad]\autorun.inf Parchea las siguientes API's en memoria: DNS_Query_A DNS_Query_UTF8 DNS_Query_W Query_Main sendto Monitoriza las peticiones DNS para los dominios que contengan las siguientes cadenas de texto y bloquea el acceso: ahnlab arcabit avast avg. avira avp. bit9. ca. castlecops centralcommand cert. clamav comodo computerassociates cpsecure defender drweb emsisoft esafe eset etrust ewido f-prot f-secure fortinet gdata grisoft hacksoft hauri ikarus jotti k7computing kaspersky malware mcafee microsoft nai. networkassociates nod32 norman norton panda pctools prevx quickheal rising rootkit sans. securecomputing sophos spamhaus spyware sunbelt symantec threatexpert trendmicro vet. virus wilderssecurity windowsupdate Realiza una conexión a los siguientes sitios para obtener la hora actual: baidu.com google.com yahoo.com msn.com ask.com w3.org aol.com cnn.com ebay.com msn.com myspace.com Con la información obtenida comprueba si la fecha del equipo es al menos la del 1 de Enero de 2009. Con esta información, genera un listado de dominios basados en la fecha con el siguiente formato: [Nombre de dominio generado].[TLD] http://[Nombre de dominio generado].[TLD]/search?q=%d Entonces el gusano se descarga una copia actualizada de si mismo de dicha URL COMO DETERTAR SI MI MÁQUINA ESTÁ COMPROMETIDA ============================================= * Las actualizaciones automáticas, Windows Defender y el Servicio de Reporte de Errores están inactivos * Los controladores de dominio tardan demasiado en responder * Red congestionada * No se puede acceder a páginas web relacionadas con seguridad Observar la existencia/modificación de los siguientes archivos/claves del registro de Windows: [Directorio Windows]\[Nombre aleatorio].dll [Archivos de Programa]\Internet Explorer\[Nombre aleatorio].dll [Archivos de Programa]\Movie Maker\[Nombre aleatorio].dll [Archivos Temporales de Windows]\[Nombre aleatorio].dll C:\Documents and Settings\All Users\Application Data \[Nombre aleatorio].dll # HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\dl. 0 # HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\ds. 0 # HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\[RANDOM NAME]. rundll32.exe [RANDOM FILE NAME].dll, ydmmgvos # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\dl. 0 # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\ds. 0 # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections. 00FFFFFE # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\ErrorControl. 4 # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\ImagePath. [System Root]\system32\svchost.exe -k netsvcs # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Parameters\ServiceDll. [PATH TO WORM] # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Start. 4 # HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[WORM GENERATED SERVICE NAME]\Type. 4 PREVENCIÓN ========== * Instalar el parche de seguridad de Microsoft Windows que corrige la vulnerabilidad (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx) * Usar contraseñas de administrador robustas * Mantener y actualizar un producto antivirus * No abrir archivos de fuentes desconocidas * Evitar la navegación web a través de sitios no confiables y tener precaución con los links a páginas web MÁS INFORMACIÓN =============== https://www.ccn-cert.cni.es/index.php?option=com_idefense&task=view&id=480058%2C4&Itemid=123?=es http://support.microsoft.com/kb/962007 http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-123015-3826-99&tabid=1 Atentamente, Equipo CCN-CERT https://www.ccn-cert.cni.es ///////////////////////////////////////////////////////////////////////////