Hola, les escribe Roberto Arbeláez.

A partir de hoy voy a estar compartiendo este espacio con Christian Linacre, quien muy amablemente me abrió las puestas de su blog de Seguridad para Latinoamérica, para poder compartir con ustedes algunas reflexiones sobre los últimos acontecimientos en materia de seguridad de la información.

Una muy breve introducción: Soy Ingeniero y Magíster en Ingeniería de Sistemas y Computación, CISSP y CISA; trabajo en Microsoft hace más de 3 años, donde actualmente me desempeño como Security Program Manager para Latinoamérica.

--------------------

Ahora si, entremos en materia:

seguimos viendo un incremento en el número de infecciones de Conficker.B en Latinoamérica.

Esta variante es considerablemente diferente a la versión original de Conficker (Conficker.A), por lo que es importante estar atento para detectar sus síntomas.

Sintomas de infección de Conficker.B

• Políticas de bloqueo de cuentas que se estén activando de manera anormal
• Controladores de dominio que estén siendo sobrecargados con solicitudes
• Congestión en la red
• Aplicaciones cliente que se comporten más lento de lo normal
• Algunos servicios son deshabilitados o no funcionan, tales como:
  • Windows Update Service
  • Background Intelligent Transfer Service
  • Windows Defender
  • Windows Error Reporting Services
• Los usuarios infectados no podrán conectarse a sitios web que contengan cadenas como:
  • virus
  • spyware
  • malware
  • rootkit
  • defender
  • microsoft
  • symantec
  • mcafee
  • trendmicro
  • y otros más

Una de las diferencias entre la variante original de Conficker (ahora Conficker.A) y la nueva variante Conficker.B es que esta última utiliza diferentes vectores para propagarse.  A diferencia de Conficker.A (que sólo se propagaba explotando la vulnerabilidad descrita en el boletín de seguridad MS08-067), Conficker.B también intenta explotar contraseñas débiles de administrador para esparcirse, por lo que es importante además de instalar la actualización de seguridad, verificar que las contraseñas de ADMIN$ share sean robustas.

Pasos para eliminar la infección

1. Instale la actualización asociada al boletín de seguridad MS08-067
2. Verifique que sus contraseñas de administrador sean robustas. Para ello, puede consultar cualquiera de lo siguientes documento:
   •  Conceptos básicos de bloqueo de cuentas y contraseñas
   • Preguntas frecuentes sobre contraseñas
3. Elimine la infección
   • En línea y de manera gratuita, con Windows Live PC Safety Scan
   • De manera gratuita, descargando la herramienta de Microsoft Malicious Software Removal Tool – MSRT
   • Descargando de manera gratuita la versión de prueba de Microsoft Forefront Client Security

La actualización de la Herramienta de Eliminación de Software Malintencionado de Microsoft (MSRT - Malicious Software Removal Tool) liberada hoy Martes 13 de Enero, incluirá la detección y remoción de Win32/Conficker en todas sus variantes conocidas hasta el momento. Debido a que Conficker deshabilita las actualizaciones automáticas (automatic updates) de Windows , puede ser necesario emplear un método diferente para implantarlo en entornos empresariales, descrito en el KB891716 – Implantación de MSRT en un entorno empresarial.

También tenemos disponible una guía para la desinfección manual de Conficker.B, por si no es posible desinfectar de otra manera, con gusto la enviaré a vuelta de correo a quienes nos la soliciten.

Más información sobre Conficker.B en el blog de MMPC.

Más información sobre la Herramienta de Eliminación de Software Mailintencionado aqui.

Saludos,

Roberto.

Hola, escribe Christian Linacre

para contarles que hemos descubierto un nuevo brote del gusano llamado Conficker, con una variación conocida como Conficker.B. Este gusano usa una vulnerabilidad que corregimos en Octubre con el boletín MS08-067. Esto significa que todos los clientes que hayan instalado correctamente esa actualización están fuera de peligro.

Este gusano puede infectar computadores en un red explotando la vulnerabilidad en Windows Server Services (SVCHOST.EXE) y, si la vulnerabilidad es exitosamente explotada podría permitir ejecución remota de código cuando la compartición de archivos está habilitada. Este malware deshabilita importantes servicios de sistema y productos de seguridad.

Ahora como saber si su sistema está infectado con este software malicioso. Los síntomas están descritos en la definición de Conficker.B en el Centro de Protección contra el Malware de Microsoft, pero en resumen:

• Detiene y deshabilita los servicios
• Windows Update Service
• Background Intelligent Transfer Service
• Windows Defender
• Windows Error Reporting Services
• Windows Vista TCP/IP auto-tuning (en el caso de Windows Vista)
• El malware se instala e inicia servicios aleatoriamente bajo svchost.exe con referencia a una DLL que es el malware en si
• Reinicia los puntos de restauración del sistema
• Baja archivos arbitrarios de sitios desconocidos

Para prevenir ser infectados recomendamos:

1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. Para software Microsoft utilice Windows Update 
2. Active el firewall.
3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live Examen de Seguridad, que les permite realizar un Examen completo y gratuito, o contacte a Microsoft.

Adicionalmente, los productos de seguridad de Microsoft ya tienen la vacuna para este gusano. Requiere tener instalado la firma 1.49.1167.0 o posterior.  Esto es válido para:

Forefront Client Security
Windows Live OneCare
Windows Live Safety Scanner (gratis)

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, les escribe Roberto Arbeláez.

En los ultimos dias se ha estado discutiendo mucho sobre las 10.000 cuentas de usuarios de Hotmail a las que se les reveló publicamente el password en dias pasados:

http://www.wired.com/threatlevel/2009/10/10000-passwords/ 

Muchas personas, sin entender qué fue lo que pasó, culparon a Hotmail (y a Microsoft) de lo ocurrido.

Esta lista fue solo el principio, habiéndose publicado inmediatamente después otra lista, con 20.000 usuarios y contraseñas de Gmail, Yahoo, y AOL, entre otros:

http://news.bbc.co.uk/2/hi/technology/8292928.stm

¿Qué fue lo que ocurrió?  

¿Fallaron los proveedores de servicios de correo electrónico?

Pues no. Fallaron los usuarios!

Los hackers, siendo las personas inteligentes que son, siempre buscan atacar un sistema por su parte más débil. Y atacar un sistema como Hotmail de manera frontal es muy difícil. Así que optan por utilizar ataques destinados a explotar las debilidades de los usuarios finales.

Los usuarios afectados fueron victimas de un ataque de Phishing. Los atacantes enviaron a un gran numero de personas un correo electrónico falso, que se hacía pasar por un correo oficial de Hotmail, pidiendo a los usuarios actualizar sus credenciales (usuario y contraseña). Estos correos usan los mismos logos, los colores y la presentación que utilizan los correos electronicos que realmente vienen de los administradores de Hotmail. Por supuesto, las personas que ingresaban sus credenciales y daban click en “enviar” no le estaban mandando esta información a Hotmail, sino a los atacantes.

Como regla general, se debe desconfiar de cualquier correo electrónico que nos pida que ingresemos nuestras credenciales, y nunca las debemos enviar ni por correo electrónico, ni por programas de mensajería instantánea.

Aqui, algunas recomendaciones para no ser víctima de ataques de phishing:

http://www.microsoft.com/mscorp/safety/default.mspx

Es interesante, que habiéndose realizado un análisis de las contraseñas, la mayoría de ellas eran inseguras. A continuación, las contraseñas más encontradas en la lista:

1. 123456 – 64 occurrencias

2. 123456789 – 18 ocurrencias

3. alejandra – 11 ocurrencias

4. 111111 – 10 ocurrencias

5. alberto – 9 ocurrencias

6. tequiero – 9 ocurrencias

7. alejandro – 9 ocurrencias

8. 12345678 – 9 ocurrencias

9. 1234567 – 8 ocurrencias

10. estrella – 7 ocurrencias

11. iloveyou – 7 ocurrencias

12. daniel – 7 ocurrencias

13. 000000 – 7 ocurrencias

14. roberto – 7 ocurrencias

15. 654321 – 6 ocurrencias

16. bonita – 6 ocurrencias

17. sebastian – 6 ocurrencias

18. beatriz – 6 ocurrencias

19. mariposa – 5 ocurrencias

20. america – 5 ocurrencias

Como pueden ver, muchas de las víctimas son hispanoparlantes por lo que es importante que empecemos a mejorar nuestra seguridad personal en Latinoamérica, empezando por la selección de una contraseña segura para nuestro buzón de correo electrónico.

Algunas características de una buena contraseña son que debe contener mayúsculas, minúsculas, números, simbolos (por ejemplo !#$*), tener como mínimo 8 caracteres de longitud (idealmente al menos 12), y no contener información que se pueda deducir conociendo a la persona.

Aqui, unas buenas prácticas a seguir para crear y administrar contraseñas:

http://technet.microsoft.com/en-us/library/cc784090(WS.10).aspx 

Por último, les recuerdo que la siguiente semana es semana de boletines de seguridad, por lo que aprovecho para invitarlos a que asistan a nuestra llamada mensual.  Ya estaremos publicando el sitio en este mismo Blog.

Saludos, Roberto.

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

como actualización a la información entregada anoche, hoy hemos liberado el boletin MS08-67.

Esta actualización resuelve una vulnerabilidad al servicio Server de Windows que afecta todas las versiones actualmente soportados de estos sistemas operativos. Windows XP y versiones anteriores esto tienen una importancia máxima de “Critica” mientras que para Windows Vista y versiones más nuevas esta categorizada como “Importante”. Más detalle al respecto puede ser encontrada en el blog de MSRC, así como en el boletín en si.

Recomendamos a todos nuestros clientes que se dirijan al sitio de Seguridad de Microsoft para Latinoamerica: www.microsoft.com/latam/seguridad/ para revisar las acciones recomendadas.

La recomendación principial es probar e instalar la actualización de seguridad lo antes posible.

Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, les escribe Roberto Arbeláez. Después de una exhaustiva investigación, Microsoft ha confirmado que los problemas reportados de BSoD (Blue Screen of Death – Pantalla Azul de la Muerte) solo se presentan cuando la actualización asociada al  boletín de seguridad MS10-015 se instala en máquinas previamente infectadas con el Rootkit Alureon.

Microsoft llegó a esta conclusión después del análisis exhaustivo de vaciados de memoria obtenidas de múltiples máquinas de usuarios afectados, así como de pruebas extensivas contra aplicaciones y software de terceros.

Los reinicios son el resultado de las modificaciones que el Rootkit Alureon hace a los archivos binarios del kernel de Windows, que pone a las máquinas afectadas en un estado inestable. En ninguno de los incidentes investigados se encontraron problemas de calidad o bugs en el MS10-15. 

En el caso particular de Alureon, los autores de este Rootkit modificaron el comportamiento de Windows al intentar acceder a un segmento específico de memoria directamente, en vez de dejar que el sistema operativo determinara la dirección de memoria que es lo que usualmente pasa cuando se carga un ejecutable. La cadena de eventos en este caso empezaba por que una máquina era infectada con Alureon, y este rootkit asumía en donde iba a estar ubicado el código de windows en memoria. Posteriormente, el MS10-015 era bajado e instalado, durante lo cual se cambiaba la ubicación del código de windows en memoria. Al siguiente reinicio, el código del rootkit hacía que el sistema se estrellara, al intentar acceder una dirección específica en el código de windows residente en memoria que ya no alojaba la función del sistema operativo a la que el rootkit intentaba acceder.

Microsoft ha desarrollado algunas medidas para evitar que se manipule el código del Kernel de Windows usando tecnologías como el  Kernel Patch Protection  (Protección de parcheo al Kernel, también conocido como PatchGuard) y Kernel Mode Code Signing (KMCS, Firmado de Código en Modo Kernel), ambas habilitadas en nuestros sistemas operativos de 64 bits. Estas tecnologías hacen posible detectar cuando las revisiones de integridad del códigio del kernel fallen. Las diferentes versiones de Alureon que se han investigado solamente afectan sistemas de 32 bits y son incapaces de infectar sistemas de 64-bits.

Puede obtener más información sobre el kernel de windows en este link. Más información sobre la investigación y los resultados obtenidos en el articulo asociado a este incidente en el blog de MSRC.

Nuestras recomendaciones siguen siendo las mismas: Los clientes deben implantar las actualizaciones de seguridad de Febrero y asegurarse de que sus sistemas estén protegidos con  software antivirus actualizado.

Si usted es uno de nuestros clientes afectados, le podemos ayudar. Puede abrir un caso de soporte gratuito, en cualquiera de nuestros canales de soporte para Latinoamérica:

• Sitio principal de soporte: http://support.microsoft.com/default.aspx?ln=ES-LA

• Líneas de atención al cliente: http://support.microsoft.com/gp/contactusen/?ln=es-la

• Soporte en línea (vía chat): http://support.microsoft.com/oas/default.aspx?&prid=7552

Saludos,

Roberto Arbeláez

Security Program Manager for Latin America

CSS Security

Microsoft Corp.

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola a todos,

escribe Christian Linacre para dar un actualización sobre el boletin de seguridad MS08-067. El día de hoy hemos recibido reportes de infecciones con un gusano recién descubierto llamado Conficker.A que podría afectar a sistemas que no hayan sido actualizados. Adicionalmente, existe un troyano llamado Win32/IRCbot.BH.

Como estaba indicado en el boletín original esta vulnerabilidad afecta de manera crítica a sistemas Windows 2000, XP y 2003. Si la vulnerabilidad es explotada exitosamente, un externo puede tomar control del equipo cuando se habilite el modo de compartir archivos. Este gusano afecta de manera menor a Windows Vista y Windows Server 2008, y todas sus ediciones soportadas.

Como saben y como parte de nuestro compromiso con la seguridad, hemos liberado la actualización de seguridad para corregir esta vulnerabilidad el día 23 de Octubre. Si aún no la ha instalado, recomendamos instalarla a la brevedad siguiendo las instrucciones descritas en el boletín MS08-067.

Si usted cree que ha sido infectado no recomendamos la remoción manual sino que utilizando Windows Live OneCare Examen de Seguridad, que les permite realizar un Examen completo y gratuito.

Como siempre las recomendaciones no cambian:

1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros.
2. Active el firewall.
3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad, Para revisar información relacionada siga visitando este blog. 

Ahora revisemos algunos detalles técnicos de este malware en particular.

La descripción completa puede ser encontrada en la Enciclopedia del Centro de Protección contra el Malware de Microsoft, buscando por Conficker.A y Win32/IRCbot.BH. Particularmente el gusano tiene las siguientes características:

• Afecta: al sistema explotando una vulnerabilidad en el servicio SVCHOST
• Se instala: buscando el ejecutable services.exe y crea .dll aleatorios en la carpeta de sistema
• Se contagia: a través de computadores conectados a la red que no tengan la actualización para la vulnerabilidad
• Provoca:
  • Crea un servidor HTTP
  • Puede borrar los puntos de restauración
  • Baja archivos desde direcciones externas

Para prevenirlo siga las recomendaciones de más arriba y si cree que que está infectado use el servicio de Windows Live OneCare Examen de Seguridad o contacte a Microsoft.

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**

Cómo proteger tu privacidad en las redes sociales  - Christian Linacre

Pasamos horas de la semana en línea: navegando por Internet, jugando, socializando con los amigos, comprando e incluso realizando operaciones bancarias. En casi todas esas actividades compartimos nuestra información personal en línea. La información personal, conocida también como información personal identificable (PII), consiste en información que puede ser utilizada para identificarte o contactarte y se compone de tu nombre, domicilio, números telefónicos, nombre de tu escuela, fecha de nacimiento, número de seguro social, fotografías, videos, números de tarjetas de crédito y cuentas bancarias, hábitos o preferencias de compra, y cualquier otra información sobre tu vida y las cosas que te gustan y te disgustan.

Algunos de los sitios más comunes donde podríamos compartir tal información son los sitios de redes sociales, los mensajes instantáneos, las salas de chat, las redes para compartir archivos y los sitios web de subastas o compras. A medida que el Internet se entrelaza cada vez más con nuestras rutinas diarias, tendemos a subestimar el hecho de compartir nuestra información personal con un grupo de personas mucho más amplio. La creciente popularidad de los teléfonos inteligentes y de otros dispositivos móviles con capacidades de Internet permite que aquellos con acceso en tiempo real a esa información compartida copien, almacenen y reenvíen dicha información. La información también puede ser archivada o clasificada por los motores de búsqueda y otras tecnologías que incrementan el acceso a ella en el Internet y dificultan su eliminación. En resumen, esas tecnologías aumentan en extremo las posibilidades de que tu información personal se pueda compartir o proporcionar en una manera que jamás pensaste o que podría traer consecuencias dañinas para ti.

Las redes sociales – un vistazo a tu vida

La mayoría de nosotros tenemos perfiles en redes sociales como Facebook, My Space o Friendster. Aunque Facebook solía ser utilizada exclusivamente por estudiantes universitarios de todo el mundo, en años recientes la edad promedio de su población ha estado aumentando. En mayo de 2008, la edad promedio en Facebook era de 26. Hoy en día es de 33, es decir, siete años más. Con más de 400 millones de usuarios registrados en todo el mundo, podemos afirmar que casi toda la gente que conoces ya cuenta con su propio perfil.

Un vistazo a un perfil en cualquier red social nos dirá casi todo lo que necesitamos saber acerca de una persona, y la posibilidad de que esa información caiga en las manos equivocadas es muy real. Aunque los beneficios obvios que ofrecen las redes sociales en términos de conectividad son innegables, necesitamos tomar medidas para protegernos y evitar ser explotados:

• Protege tus cuentas con contraseñas fuertes y únicas. Nunca utilices la misma contraseña que empleas para tu cuenta de correo electrónico, ya que eso reduce la posibilidad de que un hacker o incluso tus amigos entren a tu cuenta sin permiso. Ten una contraseña diferente para cada red social. De esa forma, si te roban una de tus contraseñas, no estarán en riesgo tus demás cuentas.

• Nunca pulses en enlaces sospechosos —incluso si parecen ser de tus amigos. Las cuentas de tus amigos pueden haberse infectado con virus u otro software dañino. Si pulsas sobre los enlaces que tus amigos colocan en la página de tu perfil o que te envían en mensajes, tu computadora y tu cuenta también pueden infectarse.

• Toma en cuenta la cantidad de información personal que compartes en línea. No compartas información que podría poner en riesgo a ti o a tu familia (por ejemplo, tu fecha de nacimiento, domicilio, información sobre tus actividades diarias o planes vacacionales). Esa información puede ser utilizada por delincuentes con fines de robo de identidad. Aunque en ocasiones esto sea inevitable, asegúrate de definir tus preferencias de privacidad para controlar la cantidad y el tipo de información que deseas compartir para que la gente que no conoces bien sólo pueda ver ciertas partes de tu perfil.

• Piensa antes de comentar. Las fotografías, comentarios y mensajes que compartes en tu muro pueden ser vistos por cualquiera y no siempre se pueden eliminar si cambias de parecer. Eso incluye la información en tu perfil, blogs y otros foros. La gente con frecuencia olvida que otras personas además de sus amigos pueden ver la información.

Una vez que la información está en línea no es fácil eliminarla. Incluso si eliminas tu información de un sitio, las versiones guardadas o en caché pueden seguir existiendo en otras computadoras. Tus “amigos” podrían compartir tu información con tu jefe, o incluso con la prensa. Piensa si la información que compartes hoy podría dañarte dentro de 10 o 20 años.

• Desconfía de los extraños. La gente no siempre es quien dice ser. Es buena idea limitar la cantidad de gente que aceptas como amiga. Si eres “amigo” de gente que no conoces, ten cuidado con la cantidad de información que revelas y no aceptes conocerla en persona. Utiliza los ajustes de privacidad de tu red social para restringir el acceso de esas personas a tu información.

• Revisa las políticas de privacidad de los sitios. Algunos sitios pueden compartir información como direcciones de correo electrónico o preferencias de usuario con empresas, mismas que podrían enviarte correo no deseado. Intenta encontrar las políticas de esos sitios respecto a la manera en que manejan las referencias para asegurarte de que no inscribas por error a tus amigos para recibir correo no deseado.

Por último, aunque no por eso menos importante, utiliza el navegador más actualizado. Descargar los navegadores más nuevos, tales como Internet Explorer 8, asegura que cuentas con la tecnología más reciente para estar protegido todo el tiempo.

Saludos, Christian.-

Hola, escribe Christian Linacre para darles las últimas noticias respecto del gusano Conficker.

Microsoft desmiente que haya sugerido a los usuarios de Windows afectados por el gusano Conficker o Downadup la reinstalación del sistema operativo, como se ha malinterpretado en algunos medios de comunicación.

Microsoft hace un llamado a todos los usuarios para que de inmediato apliquen la actualización que se encuentra en el boletín MS08-067 (liberado el 23 de Octubre pasado), además de continuar con la disciplina de Proteger su PC y mantenerse informados sobre las actualizaciones que se van generando y promoviendo oportunamente. De esta forma se evitará que los equipos sean afectados.

Nuestras recomendaciones siguen siendo las mismas entregadas en este blog, entre las que se incluyen:

1. Busque e instale las actualizaciones de software en forma continua, incluyendo las actualizaciones proporcionadas para las aplicaciones de terceros. www.microsoft.com/latam/seguridad/  .
2. Active el firewall.
3. Instale y mantenga actualizados sus programas antivirus y antispyware para estar mejor protegido contra el software malicioso e indeseable.
4. Sea precavido al abrir los vínculos y archivos adjuntos en el correo electrónico y los mensajes instantáneos, incluso si provienen de una fuente conocida o confiable.
5. Para mantener protegido su computador visite: www.microsoft.com/latam/seguridad.
6. Verifique que sus contraseñas sean robustas.

En caso de requerir mayor información o asesoría sobre el tema ingrese al sitio: http://safety.live.com. O contacte a Microsoft al Centro de Soporte y Ayuda: http://support.microsoft.com/contactus.

Cualquier comentario al respecto es bienvenido.

Saludos, Christian.-

Hola, les escribe Roberto Arbeláez.

En respuesta a las continuas preguntas de clientes sobre cómo protegerse y defenderse contra el gusano Conficker, el Centro de Protección contra Software Malicioso de Microsoft (Microsoft Malware Protection Center) ha publicado una nueva entrada en su blog de Investigación y Respuesta a Amenazas en el que centraliza toda la información de guianza que sobre este tema tiene Microsoft:

http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

Continuamos pidiendo a nuestros clientes que implanten la actualización de seguridad asociada al boletín de seguridad MS08-067 tan pronto como sea posible. También les pedimos que implementen medidas de defensa en profundidad basadas en la información provista en el Blog del Centro de Protección contra Software Malicioso de Microsoft (Microsoft Malware Protection Center).

Continuaremos monitoreando la situación a  través de nuestro Proceso de Respuesta a Incidentes de Seguridad de Software (Software Security Incident Response Process –SSIRP-) y estamos trabajando de manera activa con nuestros socios del Programa de Protección Activa de Microsoft (Microsoft Active Protections Program –MAPP-) y de la Alianza de Respuesta de Seguridad de Microsoft (Microsoft Security Response Alliance –MSRA-) para hacer frente a esta amenaza.

Boletin de Seguridad MS08-067:

http://www.microsoft.com/latam/technet/seguridad/boletines/2008/ms08-067.mspx

Blog del MMPC con la información centralizada de Conficker:

http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

**Esto se publica “como está” sin garantías y no confiere derechos**

Hola, les escribe Roberto Arbeláez.

La nueva variante de Conficker en aparecer en escena, la variante Conficker.D, ha causado interés en los medios y preocupación entre los administradores de TI y usuarios en general.

El hecho de que esta variante active parte de su funcionalidad ofensiva en el 1ro. de Abril parece haber sido la causa principal del interés que ha despertado esta variante. Sin embargo, un análisis juicioso nos lleva a concluir que esta variante es una de las menos malignas de la familia de Conficker, he aqui las razones:

1. La variante de Conficker.D, a diferencia de otras variantes de la familia Conficker como Conficker.B y Conficker.C, no se propaga utilizando medios de almacenamiento removibles, ni recursos compartidos en red. El único vector de infección que utiliza , es la vulnerabilidad descrita en el boletin de seguridad MS08-067. Si ya se instaló esta actualización, se está protegido contra esta variante y no hay nada de que preocuparse.
2. A diferencia de otras variantes de la familia Conficker, la variante Conficker.D después de instalarse no construye una lista de URLs de inmediato para tratar de conectarse y bajar archivos. Esta actividad solo la va a llevar a cabo, pero hasta despues del 1ro. de Abril. Por supuesto, esto es mas bueno que malo. A diferencia de Conficker.B que lo hace inmediatamente despues de instalarse, Conficker.D nos da un espacio de tiempo (hasta el primero de Abril) para poder detectar y eliminar la infección antes de que el gusano baje archivos maliciosos de sitios en internet que permitan que terceros tomen el control de nuestro sistema (instalando un módulo de control y haciéndolo parte de un botnet, o instalando un rootkit, etc).

Debido a estas razones, tenemos menos que temer de Conficker.D que de las otras variantes que componen la familia, siendo esta variante, junto con Conficker.A las menos peligrosas de la familia Conficker, y las dos únicas variables que utilizan un solo vector de infección (la explotación de la vulnerabilidad descrita en MS08-067) para propagarse.

Nuestras recomendaciones siguen siendo las mismas anteriormente descritas y nuestras soluciones de antimalware son capaces de detectar esta variante al utilizar las nuevas definiciones disponibles. Esto incluye Windows Live One Care, los productos Forefront y la versión gratuita del examen de seguridad de Windows Live.

Si Ud. cree que pueda estar infectado con este gusano, contacte a Microsoft en http://support.microsoft.com/contactus

Saludos,

Roberto

**Esto se publica “como está” sin garantías y no confiere derechos**