Conficker , también conocido como Downup , Downadup y Kido , es un gusano informático dirigido al sistema operativo Microsoft Windows que se detectó por primera vez en noviembre de 2008. [1] Utiliza fallas en el software del sistema operativo Windows y ataques de diccionario en contraseñas de administrador para propagarse mientras se forma una botnet , y ha sido inusualmente difícil de contrarrestar debido a su uso combinado de muchas técnicas avanzadas de malware. [2] [3]El gusano Conficker infectó millones de computadoras, incluidas las del gobierno, las empresas y las domésticas en más de 190 países, lo que la convierte en la infección de gusano informático más grande conocida desde Welchia 2003 . [4]
Alias |
|
---|---|
Clasificación | Desconocido |
Tipo | Virus de computadora |
Subtipo | Gusano informático |
A pesar de su amplia propagación, el gusano no causó mucho daño, tal vez porque sus autores, que se cree que fueron criminales ucranianos, no se atrevieron a usarlo debido a la atención que atrajo. Cuatro hombres fueron arrestados y uno se declaró culpable y fue sentenciado a 48 meses de prisión.
Predominio
Las estimaciones del número de equipos infectados fueron difíciles porque el virus cambió su estrategia de propagación y actualización de una versión a otra. [5] En enero de 2009, el número estimado de ordenadores infectados osciló entre casi 9 millones [6] [7] [8] y 15 millones. [9] Microsoft ha informado que el número total de equipos infectados detectados por sus productos antimalware se ha mantenido estable en alrededor de 1,7 millones desde mediados de 2010 hasta mediados de 2011. [10] [11] A mediados de 2015, el número total de infecciones se había reducido a unas 400.000, [12] y se estimaba en 500.000 en 2019. [13]
Historia
Nombre
Se cree que el origen del nombre Conficker es una combinación del término inglés "configure" y el término peyorativo alemán Ficker (engl. Fucker ). [14] El analista de Microsoft Joshua Phillips da una interpretación alternativa del nombre, describiéndolo como una reordenación de partes del nombre de dominio trafficconverter.biz [15] (con la letra k, no encontrada en el nombre de dominio, agregada como en "trafficker ", para evitar un sonido c" suave ") que se usaba en las primeras versiones de Conficker para descargar actualizaciones.
Descubrimiento
La primera variante de Conficker, descubierta a principios de noviembre de 2008, se propagó a través de Internet aprovechando una vulnerabilidad en un servicio de red (MS08-067) en Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 y Windows Server. 2008 R2 Beta. [16] Si bien Windows 7 puede haberse visto afectado por esta vulnerabilidad, Windows 7 Beta no estuvo disponible públicamente hasta enero de 2009. Aunque Microsoft lanzó un parche de emergencia fuera de banda el 23 de octubre de 2008 para cerrar la vulnerabilidad, [17] un gran número de PC con Windows (estimado en un 30%) permaneció sin parche hasta enero de 2009. [18] Una segunda variante del virus, descubierta en diciembre de 2008, agregó la capacidad de propagarse a través de LAN a través de medios extraíbles y recursos compartidos de red . [19] Los investigadores creen que estos fueron factores decisivos para permitir que el virus se propagara rápidamente.
Impacto en Europa
Intramar, la red informática de la Armada francesa , se infectó con Conficker el 15 de enero de 2009. Posteriormente, la red fue puesta en cuarentena, lo que obligó a las aeronaves en varias bases aéreas a permanecer en tierra porque sus planes de vuelo no se podían descargar. [20]
El Ministerio de Defensa del Reino Unido informó que algunos de sus principales sistemas y escritorios estaban infectados. El virus se había extendido por las oficinas administrativas, los escritorios NavyStar / N * a bordo de varios buques de guerra y submarinos de la Royal Navy, y los hospitales de la ciudad de Sheffield informaron sobre la infección de más de 800 computadoras. [21] [22]
El 2 de febrero de 2009, la Bundeswehr , las fuerzas armadas unificadas de Alemania, informó que alrededor de un centenar de sus computadoras estaban infectadas. [23]
Una infección del sistema de TI del Ayuntamiento de Manchester provocó una interrupción estimada en 1,5 millones de libras esterlinas en febrero de 2009. Se prohibió el uso de unidades flash USB, ya que se creía que era el vector de la infección inicial. [24]
Un memorando del Director del servicio de TIC del Parlamento del Reino Unido informó a los usuarios de la Cámara de los Comunes el 24 de marzo de 2009 que había sido infectado con el virus. La nota, que se filtró posteriormente, pedía a los usuarios que evitaran conectar equipos no autorizados a la red. [25]
En enero de 2010, se infectó la red informática de la Policía de Greater Manchester , lo que provocó su desconexión durante tres días de la Computadora Nacional de la Policía como medida de precaución; Durante ese tiempo, los agentes tuvieron que pedir a otras fuerzas que realizaran controles de rutina en vehículos y personas. [26]
Operación
Aunque casi todas las técnicas avanzadas de malware utilizadas por Conficker han sido utilizadas en el pasado o son bien conocidas por los investigadores, el uso combinado del virus ha hecho que sea inusualmente difícil de erradicar. [27] También se cree que los autores desconocidos del virus están rastreando los esfuerzos anti-malware de los operadores de red y las fuerzas del orden y han lanzado regularmente nuevas variantes para cerrar las propias vulnerabilidades del virus. [28] [29]
Se conocen cinco variantes del virus Conficker y se han denominado Conficker A, B, C, D y E. Fueron descubiertas el 21 de noviembre de 2008, el 29 de diciembre de 2008, el 20 de febrero de 2009, el 4 de marzo de 2009 y el 7 de abril de 2009, respectivamente. [30] [31] El Grupo de Trabajo de Conficker utiliza nombres de A, B, B ++, C y E para las mismas variantes, respectivamente. Esto significa que (CWG) B ++ es equivalente a (MSFT) C y (CWG) C es equivalente a (MSFT) D.
Variante | Fecha de detección | Vectores de infeccion | Actualizar la propagación | Autodefensa | Acción final |
---|---|---|---|---|---|
Conficker A | 2008-11-21 |
|
| Ninguno |
|
Conficker B | 2008-12-29 |
|
|
|
|
Conficker C | 2009-02-20 |
|
|
|
|
Conficker D | 2009-03-04 | Ninguno |
|
|
|
Conficker E | 2009-04-07 |
|
|
|
|
Infección inicial
- Las variantes A, B, C y E explotan una vulnerabilidad en el servicio de servidor en equipos con Windows, en la que un equipo de origen ya infectado utiliza una solicitud RPC especialmente diseñada para forzar un desbordamiento del búfer y ejecutar shellcode en el equipo de destino. [45] En la computadora de origen, el virus ejecuta un servidor HTTP en un puerto entre 1024 y 10000; el shellcode de destino se conecta de nuevo a este servidor HTTP para descargar una copia del virus en formato DLL , que luego adjunta a svchost.exe . [36] Las variantes B y posteriores pueden adjuntarse en su lugar a un proceso services.exe o del Explorador de Windows en ejecución . [29] La función de confianza de la aplicación de un cortafuegos instalado podría detectar la conexión a esos procesos.
- Las variantes B y C pueden ejecutar copias de sí mismas de forma remota a través del recurso compartido ADMIN $ en computadoras visibles a través de NetBIOS . Si el recurso compartido está protegido con contraseña, se intenta un ataque de diccionario , lo que potencialmente genera grandes cantidades de tráfico de red y activa las políticas de bloqueo de cuentas de usuario. [46]
- Las variantes B y C colocan una copia de su formato DLL en el archivo de reciclaje de cualquier medio extraíble adjunto (como unidades flash USB), desde el cual pueden infectar nuevos hosts a través del mecanismo de ejecución automática de Windows [19] utilizando una ejecución automática manipulada . inf .
Para iniciarse en el arranque del sistema, el virus guarda una copia de su formato DLL en un nombre de archivo aleatorio en el sistema de Windows o en la carpeta system32, luego agrega claves de registro para que svchost.exe invoque esa DLL como un servicio de red invisible. [29]
Propagación de la carga útil
El virus tiene varios mecanismos para empujar o extraer cargas útiles ejecutables a través de la red. El virus utiliza estas cargas útiles para actualizarse a variantes más nuevas e instalar malware adicional.
- La variante A genera una lista de 250 nombres de dominio todos los días en cinco TLD . Los nombres de dominio se generan a partir de un generador de números pseudoaleatorios (PRNG) con la fecha actual para garantizar que cada copia del virus genere los mismos nombres todos los días. Luego, el virus intenta una conexión HTTP a cada nombre de dominio por turno, esperando de cualquiera de ellos una carga útil firmada. [29]
- La variante B aumenta el número de TLD a ocho y tiene un generador ajustado para producir nombres de dominio separados de los de A. [29]
- Para contrarrestar el uso de nombres de dominio pseudoaleatorios por parte del virus, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) y varios registros de TLD comenzaron en febrero de 2009 una prohibición coordinada de transferencias y registros para estos dominios. [47] La variante D contrarresta esto al generar diariamente un grupo de 50.000 dominios en 110 TLD, de los cuales elige al azar 500 para intentar ese día. Los nombres de dominio generados también se acortaron de 8-11 a 4-9 caracteres para hacerlos más difíciles de detectar con heurística . Es poco probable que este nuevo mecanismo de extracción (que se desactivó hasta el 1 de abril de 2009) [30] [39] propague cargas útiles a más del 1% de los hosts infectados por día, pero se espera que funcione como un mecanismo de siembra para los pares del virus. red de pares. [32] Sin embargo, se espera que los nombres generados más cortos choquen con 150–200 dominios existentes por día, lo que podría causar un ataque distribuido de denegación de servicio (DDoS) en los sitios que prestan servicios a esos dominios. Sin embargo, la gran cantidad de dominios generados y el hecho de que no todos los dominios serán contactados durante un día determinado probablemente evitarán situaciones de DDoS. [48]
- La variante C crea una canalización con nombre , a través de la cual puede enviar URL para cargas útiles descargables a otros hosts infectados en una red de área local . [39]
- Las variantes B, C y E realizan parches en la memoria de las DLL relacionadas con NetBIOS para cerrar MS08-067 y vigilar los intentos de reinfección a través de la misma vulnerabilidad. Se permite la reinfección desde versiones más recientes de Conficker, convirtiendo efectivamente la vulnerabilidad en una puerta trasera de propagación . [35]
- Las variantes D y E crean una red de igual a igual ad-hoc para impulsar y extraer cargas útiles a través de Internet en general. Este aspecto del virus está muy oculto en el código y no se comprende por completo, pero se ha observado que utiliza el escaneo UDP a gran escala para crear una lista de pares de hosts infectados y TCP para transferencias posteriores de cargas útiles firmadas. Para hacer el análisis más difícil, números de puerto para las conexiones se hash de la dirección IP de cada par. [37] [39]
Armadura
Para evitar que las cargas útiles sean secuestradas, las cargas útiles de la variante A son primero SHA-1 - hash y RC4 - encriptadas con el hash de 512 bits como clave . Luego, el hash se firma mediante RSA con una clave privada de 1024 bits. [36] La carga útil se desempaqueta y ejecuta solo si su firma se verifica con una clave pública incrustada en el virus. Las variantes B y posteriores usan MD6 como función hash y aumentan el tamaño de la clave RSA a 4096 bits. [39] Conficker B adoptó MD6 pocos meses después de su primera publicación; seis semanas después de que se descubriera una debilidad en una versión inicial del algoritmo y se publicara una nueva versión, Conficker se actualizó al nuevo MD6. [3]
Autodefensa
La forma DLL del virus está protegida contra la eliminación estableciendo su propiedad en " SISTEMA ", que lo bloquea para que no se elimine incluso si el usuario tiene privilegios de administrador. El virus almacena una copia de seguridad de esta DLL disfrazada de imagen .jpg en la caché de Internet Explorer de los servicios de red del usuario .
La variante C del virus restablece los puntos de restauración del sistema y deshabilita varios servicios del sistema, como Windows Automatic Update , Windows Security Center , Windows Defender y Windows Error Reporting . [49] Los procesos que coinciden con una lista predefinida de herramientas antivirales, de diagnóstico o de parcheo del sistema se vigilan y finalizan. [50] También se aplica un parche en la memoria a la DLL de resolución del sistema para bloquear las búsquedas de nombres de host relacionados con los proveedores de software antivirus y el servicio Windows Update. [39]
Acción final
La variante E del virus fue la primera en utilizar su base de equipos infectados para un propósito ulterior. [43] Descarga e instala, desde un servidor web alojado en Ucrania, dos cargas útiles adicionales: [51]
- Waledac , un spambot conocido por propagarse a través de archivos adjuntos de correo electrónico. [52] Waledac opera de manera similar al gusano Storm de 2008 y se cree que fue escrito por los mismos autores. [53] [54]
- SpyProtect 2009, un producto antivirus fraudulento y scareware . [55]
Síntomas
Los síntomas de una infección por Conficker incluyen:
- Las políticas de bloqueo de cuentas se restablecen automáticamente.
- Ciertos servicios de Microsoft Windows , como Actualizaciones automáticas , Servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y Informe de errores de Windows desactivados.
- Los controladores de dominio responden lentamente a las solicitudes de los clientes.
- Congestión en las redes de área local (inundación de ARP como consecuencia del escaneo de la red).
- Los sitios web relacionados con el software antivirus o el servicio Windows Update se vuelven inaccesibles. [56]
- Cuentas de usuario bloqueadas. [57]
Respuesta
El 12 de febrero de 2009, Microsoft anunció la formación de un grupo industrial para contrarrestar en colaboración a Conficker. El grupo, que desde entonces ha sido denominado informalmente Conficker Cabal, incluye a Microsoft , Afilias , ICANN , Neustar , Verisign , China Internet Network Information Center , Public Internet Registry, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, investigadores de Georgia Tech , The Shadowserver Foundation, Arbor Networks y Support Intelligence. [3] [28] [58]
De Microsoft
El 13 de febrero de 2009, Microsoft ofreció un $ USD recompensa de 250.000 dólares por información que conduzca al arresto y condena de las personas detrás de la creación y / o distribución de Conficker. [59]
De registros
ICANN ha buscado la prohibición preventiva de transferencias y registros de dominio de todos los registros de TLD afectados por el generador de dominios del virus. Aquellos que han tomado medidas incluyen:
- El 13 de marzo de 2009, NIC Chile, el registro de ccTLD .cl , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo de Conficker y revisó cien ya registrados de la lista de gusanos. [60]
- El 24 de marzo de 2009, CIRA , la Autoridad Canadiense de Registro de Internet, bloqueó todos los nombres de dominio .ca no registrados anteriormente que se espera sean generados por el virus durante los próximos 12 meses. [61]
- El 27 de marzo de 2009, NIC-Panamá, el registro de ccTLD .pa , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo de Conficker. [62]
- El 30 de marzo de 2009, INTERRUPTOR , el suizo ccTLD registro, anunció que estaba "tomando medidas para direcciones de Internet proteger con los finales .ch y .li del gusano informático Conficker." [63]
- El 31 de marzo de 2009, NASK , el registro de ccTLD polaco , bloqueó más de 7.000 dominios .pl que se espera que genere el virus durante las próximas cinco semanas. NASK también advirtió que el tráfico de gusanos puede infligir involuntariamente un ataque DDoS a los dominios legítimos que se encuentran en el conjunto generado. [64]
- El 2 de abril de 2009, Island Networks, el registro de ccTLD de Guernsey y Jersey , confirmó después de investigaciones y enlace con la IANA que no había nombres .gg o .je en el conjunto de nombres generados por el virus.
A mediados de abril de 2009, todos los nombres de dominio generados por Conficker A se habían bloqueado o registrado de forma preventiva con éxito, lo que hizo que su mecanismo de actualización no fuera efectivo. [sesenta y cinco]
Origen
Los miembros del grupo de trabajo declararon en los informes de sombrero negro de 2009 que Ucrania es el origen probable del virus, pero se negaron a revelar más descubrimientos técnicos sobre las partes internas del virus para evitar alertar a sus autores. [66] Una variante inicial de Conficker no infectó sistemas con direcciones IP ucranianas o con diseños de teclado ucranianos. [3] La carga útil de Conficker.E se descargó de un host en Ucrania. [51]
En 2015, Phil Porras, Vinod Yegneswaran y Hassan Saidi, quienes fueron los primeros en detectar y aplicar ingeniería inversa a Conficker, escribieron en el Journal of Sensitive Cyber Research and Engineering , una publicación clasificada sobre ciberseguridad del gobierno de EE. UU. malware a un grupo de ciberdelincuentes ucranianos. Porras y col. creía que los criminales abandonaron Conficker después de que se había extendido mucho más de lo que suponían, razonando que cualquier intento de usarlo llamaría demasiado la atención de las fuerzas del orden en todo el mundo. Esta explicación es ampliamente aceptada en el campo de la ciberseguridad. [13]
En 2011, en colaboración con el FBI, la policía ucraniana arrestó a tres ucranianos en relación con Conficker, pero no hay registros de que hayan sido procesados o condenados. Un sueco, Mikael Sallnert, fue condenado a 48 meses de prisión en Estados Unidos tras declararse culpable. [13]
Eliminación y detección
Debido al bloqueo de los archivos de virus contra la eliminación mientras el sistema esté en ejecución, la eliminación manual o automática en sí debe realizarse durante el proceso de inicio o con un sistema externo instalado. Eliminar cualquier copia de seguridad existente es un paso crucial.
Microsoft publicó una guía de eliminación del virus y recomendó utilizar la versión actual de su Herramienta de eliminación de software malintencionado de Windows [67] para eliminar el virus y luego aplicar el parche para evitar una reinfección. [68] Las versiones más nuevas de Windows son inmunes a Conficker. [13]
Software de terceros
Muchos proveedores de software antivirus de terceros han publicado actualizaciones de detección para sus productos y afirman poder eliminar el gusano. El proceso de evolución del malware muestra cierta adopción del software de eliminación común, por lo que es probable que algunos de ellos eliminen o al menos deshabiliten algunas variantes, mientras que otros permanezcan activos o, peor aún, entreguen un falso positivo al software de eliminación y se activará con el siguiente reinicio.
Detección remota automatizada
El 27 de marzo de 2009, Felix Leder y Tillmann Werner del Honeynet Project descubrieron que los hosts infectados con Conficker tienen una firma detectable cuando se escanean de forma remota. [36] Desde entonces, el protocolo de comando peer-to-peer utilizado por las variantes D y E del virus ha sido parcialmente modificado , lo que permite a los investigadores imitar los paquetes de comando de la red del virus e identificar positivamente las computadoras infectadas en masa. [69] [70]
Ya están disponibles las actualizaciones de firmas para varias aplicaciones de escaneo en red . [71] [72]
También se puede detectar en modo pasivo rastreando dominios de transmisión para solicitudes ARP repetidas .
US CERT
El equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT) recomienda deshabilitar la ejecución automática para evitar que la variante B del virus se propague a través de medios extraíbles. Antes del lanzamiento del artículo KB967715 de la base de conocimientos de Microsoft, [73] US-CERT describió las pautas de Microsoft sobre la desactivación de la ejecución automática como "no totalmente eficaz" y proporcionó una solución para desactivarla de forma más eficaz. [74] US-CERT también ha puesto a disposición de las agencias federales y estatales una herramienta basada en la red para detectar hosts infectados con Conficker. [75]
Ver también
- Botnet
- Cronología de virus y gusanos informáticos notables
- Pastor de bot
- Protección de acceso a la red
- Zombie (ciencias de la computación)
- Software malicioso
Referencias
- ^ Protéjase del gusano informático Conficker , Microsoft, 9 de abril de 2009 , consultado el 28 de abril de 2009
- ^ Markoff, John (26 de agosto de 2009). "Desafiando a los expertos, el código informático deshonesto aún acecha" . The New York Times . Consultado el 27 de agosto de 2009 .
- ^ a b c d Bowden, Mark (junio de 2010), The Enemy Within , The Atlantic , consultado el 15 de mayo de 2010
- ^ Markoff, John (22 de enero de 2009). "Gusano infecta millones de computadoras en todo el mundo" . The New York Times . Consultado el 23 de abril de 2009 .
- ^ McMillan, Robert (15 de abril de 2009), "Experts bicker over Conficker numbers" , Techworld , IDG , consultado el 23 de abril de 2009
- ^ "Reloj marcando el código de ataque de gusano" . BBC News Online . BBC. 20 de enero de 2009 . Consultado el 16 de enero de 2009 .
- ^ Sullivan, Sean (16 de enero de 2009). "Lista de bloqueo preventiva y más números de Downadup" . F-Secure . Consultado el 16 de enero de 2009 .
- ^ Neild, Barry (16 de enero de 2009), Downadup Worm expone millones de PC al secuestro , CNN , consultado el 18 de enero de 2009
- ^ Virus ataca a 15 millones de PC , UPI , 26 de enero de 2009 , consultado el 25 de marzo de 2009
- ^ Informe de inteligencia de seguridad de Microsoft: volumen 11 (PDF) , Microsoft, 2011 , consultado el 1 de noviembre de 2011
- ^ Informe de inteligencia de seguridad de Microsoft: Volumen 10 (PDF) , Microsoft, 2010 , consultado el 1 de noviembre de 2011
- ^ Abriendo una lata de gusanos: ¿Por qué Conficker no muere, muere, muere? , ZDNet , 10 de junio de 2015 , consultado el 17 de enero de 2017
- ^ a b c d Bowden, Mark (29 de junio de 2019). "El gusano que casi se comió Internet" . The New York Times . Consultado el 30 de junio de 2019 .
- ^ Grigonis, Richard (13 de febrero de 2009), Recompensa de 5 millones de dólares de Microsoft para los creadores de gusanos de Conficker , IP Communications , consultado el 1 de abril de 2009
- ^ Phillips, Joshua, Malware Protection Center - Entrada: Worm: Win32 / Conficker.A , Microsoft , consultado el 1 de abril de 2009
- ^ Leffall, Jabulani (15 de enero de 2009). "El gusano Conficker sigue causando estragos en los sistemas Windows" . Noticias de informática del gobierno . Consultado el 29 de marzo de 2009 .
- ^ Boletín de seguridad de Microsoft MS08-067: crítico; Una vulnerabilidad en el servicio del servidor podría permitir la ejecución remota de código (958644) , Microsoft Corporation , consultado el 15 de abril de 2009
- ^ Leyden, John (19 de enero de 2009), Three in 10 Windows PCs still vulnerable to Conficker exploit , The Register , consultado el 20 de enero de 2009
- ^ a b c d Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagation by AutoPlay" (PDF) , The Downadup Codex , Symantec , p. 32 , consultado el 1 de abril de 2009
- ^ Willsher, Kim (7 de febrero de 2009), aviones de combate franceses aterrizados por un gusano informático , Londres: The Daily Telegraph , consultado el 1 de abril de 2009
- ^ Williams, Chris (20 de enero de 2009), redes del Ministerio de Defensa aún plagadas de malware después de dos semanas , The Register , consultado el 20 de enero de 2009
- ^ Williams, Chris (20 de enero de 2009), Conficker toma la red de hospitales de la ciudad , The Register , consultado el 20 de enero de 2009
- ^ Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (en alemán), PC Professionell, 16 de febrero de 2009, archivado desde el original el 21 de marzo de 2009 , consultado el 1 de abril de 2009
- ^ Leyden, John (1 de julio de 2009). "Conficker dejó Manchester sin poder emitir multas de tráfico" . El registro .
- ^ Leyden, John (27 de marzo de 2009), Memo filtrado dice Conficker pwns Parliament , The Register , consultado el 29 de marzo de 2009
- ^ "El virus Conficker golpea las computadoras de la policía de Manchester" . BBC News . 2 de febrero de 2010 . Consultado el 2 de febrero de 2010 .
- ^ Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagation by AutoPlay" (PDF) , The Downadup Codex , Symantec , p. 2 , consultado el 1 de abril de 2009
- ^ a b Markoff, John (19 de marzo de 2009), "Computer Experts Unite to Hunt Worm" , The New York Times , consultado el 29 de marzo de 2009
- ^ a b c d e f g h yo Phillip Porras , Hassen Saidi, Vinod Yegneswaran (19 de marzo de 2009), An Analysis of Conficker , SRI International, archivado desde el original el 14 de febrero de 2009 , consultado el 29 de marzo de 2009Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ a b Tiu, Vincent (27 de marzo de 2009), Microsoft Malware Protection Center: Information about Worm: Win32 / Conficker.D , Microsoft , archivado desde el original el 31 de marzo de 2009 , consultado el 30 de marzo de 2009
- ^ Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (7 de abril de 2009), DOWNAD / Conficker Watch: ¿Nueva variante en The Mix? , Trend Micro , archivado desde el original el 31 de enero de 2010 , consultado el 7 de abril de 2009
- ^ a b c d Park, John (27 de marzo de 2009), W32.Downadup.C Pseudo-Random Domain Name Generation , Symantec , consultado el 1 de abril de 2009
- ^ a b c d Nahorney, Ben (21 de abril de 2009). "Conectando los puntos: variantes Downadup / Conficker" . Symantec . Consultado el 25 de abril de 2009 .
- ^ a b Chien, Eric (18 de febrero de 2009), Downadup: Locking Itself Out , Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 3 de abril de 2009
- ^ a b c Chien, Eric (19 de enero de 2009), Downadup: Peer-to-Peer Payload Distribution , Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 1 de abril de 2009
- ^ a b c d e Leder, Felix; Werner, Tillmann (7 de abril de 2009), Know Your Enemy: Containing Conficker (PDF) , HoneyNet Project, archivado desde el original (PDF) el 12 de junio de 2010 , consultado el 13 de abril de 2009
- ^ a b c W32.Downadup.C Bolsters P2P , Symantec , 20 de marzo de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 1 de abril de 2009
- ^ a b c Leung, Ka Chun; Kiernan, Sean (6 de abril de 2009), W32.Downadup.C Technical Details , consultado el 10 de abril de 2009
- ^ a b c d e f Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 de marzo de 2009), An Analysis of Conficker C (borrador) , SRI International, archivado del original el 14 de febrero de 2009 , consultado el 29 de marzo de 2009
- ^ a b Fitzgerald, Patrick (9 de abril de 2009), W32.Downadup.E — Back to Basics , Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 10 de abril de 2009
- ^ Putnam, Aaron, Virus Encyclopedia: Worm: Win32 / Conficker.E , Microsoft , consultado el 15 de febrero de 2015
- ^ Nahorney, Ben; Park, John (21 de abril de 2009), "Connecting The Dots: Downadup / Conficker Variants" (PDF) , The Downadup Codex (2.0 ed.), Symantec , p. 47 , consultado el 19 de junio de 2009
- ^ a b Keizer, Gregg (9 de abril de 2009), Conficker cobra, instala spam bots y scareware , Computerworld , archivado desde el original el 17 de abril de 2009 , consultado el 10 de abril de 2009
- ^ Leung, Kachun; Liu, Yana; Kiernan, Sean (10 de abril de 2009), W32.Downadup.E Technical Details , Symantec , consultado el 10 de abril de 2009
- ^ Cve-2008-4250 , Common Vulnerabilities and Exposures , Departamento de Seguridad Nacional , 4 de junio de 2008, archivado desde el original el 13 de enero de 2013 , consultado el 29 de marzo de 2009
- ^ "Contraseñas utilizadas por el gusano Conficker" . Sophos. Archivado desde el original el 21 de enero de 2009 . Consultado el 16 de enero de 2009 .
- ^ Robertson, Andrew (12 de febrero de 2009), Microsoft Collaborates With Industry to Disrupt Conficker Worm , ICANN , consultado el 1 de abril de 2009
- ^ Leder, Felix; Werner, Tillmann (2 de abril de 2009), Containing Conficker , Instituto de Ciencias de la Computación, Universidad de Bonn , consultado el 3 de abril de 2009
- ^ Win32 / Conficker.C , CA , 11 de marzo de 2009 , consultado el 29 de marzo de 2009
- ^ Centro de protección contra malware - Entrada: Gusano: Win32 / Conficker.D , Microsoft , consultado el 30 de marzo de 2009
- ^ a b Krebs, Brian (10 de abril de 2009), "Conficker Worm Awakens, Downloads Rogue Anti-virus Software" , The Washington Post , consultado el 25 de abril de 2009.
- ^ O'Murchu, Liam (23 de diciembre de 2008), W32.Waledac Technical Details , Symantec , consultado el 10 de abril de 2009
- ^ Higgins, Kelly Jackson (14 de enero de 2009), Storm Botnet Makes A Comeback , DarkReading , consultado el 11 de abril de 2009
- ^ Coogan, Peter (23 de enero de 2009), Waledac - ¿Adivina cuál es para ti? , Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 11 de abril de 2009
- ^ Gostev, Aleks (9 de abril de 2009), The interminable historia , Kaspersky Lab , consultado el 13 de abril de 2009
- ^ "Alerta de virus sobre el gusano Win32 / Conficker.B" . Microsoft. 15 de enero de 2009 . Consultado el 22 de enero de 2009 .
- ^ "Virusencyclopedie: Gusano: Win32 / Conficker.B" . Microsoft . Consultado el 3 de agosto de 2009 .
- ^ O'Donnell, Adam (12 de febrero de 2009), Microsoft anuncia alianza industrial, recompensa de 250.000 dólares para combatir Conficker , ZDNet , consultado el 1 de abril de 2009
- ^ Microsoft Collaborates With Industry to Disrupt Conficker Worm (Microsoft ofrece una recompensa de 250.000 dólares por arresto y condena de Conficker) , Microsoft , 12 de febrero de 2009, archivado desde el original el 15 de febrero de 2009 , consultado el 22 de septiembre de 2009
- ^ NIC Chile participa en esfuerzo mundial en contra del gusano Conficker (en español), NIC Chile, 31 de marzo de 2009, archivado desde el original el 8 de abril de 2009 , consultado el 31 de marzo de 2009
- ^ CIRA trabajando con socios internacionales para contrarrestar Conficker C , CIRA , 24 de marzo de 2009, archivado desde el original el 29 de abril de 2009 , consultado el 31 de marzo de 2009
- ^ NIC-Panamá colabora en esfuerzo mundial en contra del Gusano Conficker. (en español), NIC-Panamá, 27 de marzo de 2009, archivado desde el original el 27 de julio de 2011 , consultado el 27 de marzo de 2009
- ^ D'Alessandro, Marco (30 de marzo de 2009), SWITCH tomando medidas para protegerse contra el gusano informático Conficker , SWITCH , consultado el 1 de abril de 2009
- ^ Bartosiewicz, Andrzej (31 de marzo de 2009), Jak działa Conficker? (en polaco), Webhosting.pl, archivado desde el original el 25 de julio de 2011 , consultado el 31 de marzo de 2009
- ^ Maniscalchi, Jago (7 de junio de 2009), Conficker.A DNS Rendezvous Analysis , Digital Threat , consultado el 26 de junio de 2009
- ^ Greene, Tim (31 de julio de 2009), Charla de Conficker saneada en Black Hat para proteger la investigación , Network World , archivado desde el original el 27 de enero de 2010 , consultado el 28 de diciembre de 2009
- ^ Herramienta de eliminación de software malintencionado , Microsoft , 11 de enero de 2005 , consultado el 29 de marzo de 2009
- ^ Protéjase del gusano informático Conficker , Microsoft , 27 de marzo de 2009, archivado desde el original el 3 de abril de 2009 , consultado el 30 de marzo de 2009
- ^ Bowes, Ron (21 de abril de 2009), Scanning for peer to peer de Conficker , SkullSecurity , consultado el 25 de abril de 2009
- ^ W32.Downadup P2P Scanner Script para Nmap , Symantec , 22 de abril de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 25 de abril de 2009
- ^ Bowes, Ronald (30 de marzo de 2009), Scanning for Conficker with Nmap , SkullSecurity , consultado el 31 de marzo de 2009
- ^ Asadoorian, Paul (1 de abril de 2009), Lanzamiento del complemento de detección de Conficker actualizado , Tenable Security, archivado desde el original el 26 de septiembre de 2010 , consultado el 2 de abril de 2009
- ^ "Cómo deshabilitar la función de ejecución automática en Windows" . Microsoft . 27 de marzo de 2009 . Consultado el 15 de abril de 2009 .
- ^ Alerta de seguridad cibernética técnica TA09-020A: Microsoft Windows no inhabilita la ejecución automática correctamente , US-CERT , 29 de enero de 2009 , consultado el 16 de febrero de 2009
- ^ DHS Releases Conficker / Downadup Computer Worm Detection Tool , Departamento de Seguridad Nacional , 30 de marzo de 2009 , consultado el 1 de abril de 2009
enlaces externos
- Grupo de trabajo de Conficker
- Grupo de trabajo de Conficker - Lecciones aprendidas
- Tabla optométrica de Conficker
- Gusano: la primera guerra mundial digital de Mark Bowden (2011; ISBN 0-8021-1983-2 ); "El 'gusano' que podría derribar Internet" , entrevista del autor (audio y transcripción), Fresh Air on NPR , 27 de septiembre de 2011; Cubierto preliminarmente por Bowden en el artículo de la revista Atlantic "The Enemy Within" (junio de 2010).