Downadup, Conficker

Virus de alto impacto que nos está atacando todavia. Comenzó el viernes y no paró. Algunos detalles para que puedan solucionarlo. Es necesario tener instalado un parche de Windows lanzado en Octubre del 2008. La dirección es: http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx. Tambien poseer un buen antivirus actualizado al día, sino entrar al site de Symantec que tienen una tool para sacarlo.

Descripción General:

Downadup es un gusano residente en memoria, reportado el 24 de Noviembre del 2008 que se propaga explotando la vulnerabilidad del Servicio de Servidor RPC, que permite la ejecución de códigos arbitrarios en forma remota.

Infecta a toda la plataforma Windows, está desarrollado en Assembler con una extensión de 62,976 bytes y comprimido con rutinas propias.

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
• http://www.securityfocus.com/archive/1/archive/1/497816/100/0/threaded

Una vez ingresado al sistema se copia a la siguiente ruta:

%System%\[nombre_aleatorio].dll

Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netsvcs\Parameters]
"ServiceDll" = "[Ruta_al_gusano]"

System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo, el gusano borra cualquier punto de Restauración creado por el usuario y genera el siguiente servicio:

Nombre: netsvcs
Ruta de imagen: %SystemRoot%\system32\svchost.exe -k netsvcs

Luego revisa redes externas buscando explotar la vulnerabilidad del Servicio de Servidor RPC (MS08-067) y se conecta a los siguientes URLs para obtener la dirección IP del sistema infectado:

http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

a continuación se conecta a la siguiente dirección web y descarga un malware, el cual ejecuta:

http://trafficconverter.biz/4vir/antispyware/[Removido]

El gusano crea un servidor HTTP en el puerto TCP 80 u 8080 y envia esa dirección a sistemas remotos.

Si logra explotar la vulnerabilidad RPC, la computadora remota se conectará a ese URL y descargará una copia del gusano. De tal modo que cada sistema vulnerado podrá propagar el gusano por sí mismo.

Seguidamente el gusano se conecta a un ruteador UPnP (plug & play), abre el puerto TCP 80 (HTTP) y ubica la red registrada como puerta de entrada a Internet (Gateway), permitiendo que intrusos puedan ingresar al equipo infectado desde redes externas.

El gusano intenta descargar un archivo de datos desde el siguiente URL:

http://www.maxmind.com/download/geoip/database/Geo[Censurado]

Para obtener la fecha del día vigente, el gusano se conecta a las siguientes direcciones web:

• http://www.w3.org
• http://www.ask.com
• http://www.msn.com
• http://www.yahoo.com
• http://www.google.com
• http://www.baidu.com

La información es usada para generar una lista de dominios, a los cuales se conecta el gusano para descargar archivos adicionales.