Conficker

gusano informático

Conficker , también conocido como Downup , Downadup y Kido , es un gusano informático dirigido al sistema operativo Microsoft Windows que se detectó por primera vez en noviembre de 2008. ^[2] Utiliza fallas en el software del sistema operativo Windows (MS08-067 / CVE-2008-4250) ^{[3] [4]} y ataques de diccionario a contraseñas de administrador se propagan mientras se forma una botnet , y ha sido inusualmente difícil de contrarrestar debido al uso combinado de muchas técnicas avanzadas de malware. ^{[5] [6]} El gusano Conficker infectó millones de computadoras, incluidas computadoras gubernamentales, comerciales y domésticas en más de 190 países, lo que la convierte en la infección de gusano informático más grande conocida desde el gusano SQL Slammer de 2003 . ^[7]

A pesar de su amplia propagación, el gusano no causó mucho daño, tal vez porque sus autores, que se cree que eran ciudadanos ucranianos, no se atrevieron a utilizarlo debido a la atención que atraía. ^{[ cita necesaria ]} Cuatro hombres fueron arrestados y uno se declaró culpable y fue sentenciado a cuatro años de prisión.

Predominio

Era difícil estimar el número de ordenadores infectados porque el virus cambiaba su estrategia de propagación y actualización de una versión a otra. ^[8] En enero de 2009, el número estimado de ordenadores infectados oscilaba entre casi 9 millones ^{[9] [10] [11]} y 15 millones. ^[12] Microsoft ha informado que el número total de computadoras infectadas detectadas por sus productos antimalware se ha mantenido estable en alrededor de 1,7 millones desde mediados de 2010 hasta mediados de 2011. ^{[13] [14]} A mediados de 2015, el número total de infecciones se había reducido a aproximadamente 400.000, ^[15] y se estimó en 500.000 en 2019. ^[16]

Historia

Nombre

Se cree que el origen del nombre Conficker es una combinación del término inglés "configure" y el término peyorativo alemán Ficker (inglés. Fucker ). ^[17] El analista de Microsoft Joshua Phillips ofrece una interpretación alternativa del nombre, describiéndolo como una reordenación de partes del nombre de dominio Trafficconverter.biz ^[18] (con la letra k, que no se encuentra en el nombre de dominio, añadida como en "trafficker ", para evitar un sonido c "suave") que era utilizado por las primeras versiones de Conficker para descargar actualizaciones.

Descubrimiento

La primera variante de Conficker, descubierta a principios de noviembre de 2008, se propagó a través de Internet aprovechando una vulnerabilidad en un servicio de red (MS08-067) en Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 y Windows Server. 2008 R2 Beta. ^[19] Si bien Windows 7 puede haberse visto afectado por esta vulnerabilidad, Windows 7 Beta no estuvo disponible públicamente hasta enero de 2009. Aunque Microsoft lanzó un parche de emergencia fuera de banda el 23 de octubre de 2008 para cerrar la vulnerabilidad, ^[20] un gran número de PC con Windows (estimado en un 30%) seguían sin parchear hasta enero de 2009. ^[21] Una segunda variante del virus, descubierta en diciembre de 2008, añadió la capacidad de propagarse a través de LAN a través de medios extraíbles y recursos compartidos de red . ^[22] Los investigadores creen que estos fueron factores decisivos para permitir que el virus se propagara rápidamente.

Impacto en Europa

Intramar, la red informática de la Armada francesa , fue infectada con Conficker el 15 de enero de 2009. Posteriormente, la red fue puesta en cuarentena, lo que obligó a los aviones de varias bases aéreas a permanecer en tierra porque no se podían descargar sus planes de vuelo. ^[23]

El Ministerio de Defensa del Reino Unido informó que algunos de sus principales sistemas y escritorios estaban infectados. El virus se había extendido por las oficinas administrativas, los escritorios NavyStar/N* a bordo de varios buques de guerra y submarinos de la Royal Navy, y los hospitales de la ciudad de Sheffield informaron sobre la infección de más de 800 computadoras. ^{[24] [25]}

El 2 de febrero de 2009, la Bundeswehr , las fuerzas armadas unificadas de Alemania, informó que alrededor de cien de sus ordenadores estaban infectados. ^[26]

Una infección del sistema informático del Ayuntamiento de Manchester provocó interrupciones por un valor estimado de 1,5 millones de libras esterlinas en febrero de 2009. Se prohibió el uso de unidades flash USB, ya que se creía que eran el vector de la infección inicial. ^[27]

Un memorando del director del servicio TIC del Parlamento del Reino Unido informó a los usuarios de la Cámara de los Comunes el 24 de marzo de 2009 que había sido infectada con el virus. El memorando, que se filtró posteriormente, pedía a los usuarios que evitaran conectar cualquier equipo no autorizado a la red. ^[28]

En enero de 2010, la red informática de la Policía de Greater Manchester resultó infectada, lo que provocó su desconexión durante tres días de la Computadora Nacional de la Policía como medida de precaución; Durante ese tiempo, los agentes tuvieron que pedir a otras fuerzas que realizaran controles de rutina en vehículos y personas. ^[29]

Operación

Aunque casi todas las técnicas avanzadas de malware utilizadas por Conficker se han utilizado en el pasado o son bien conocidas por los investigadores, el uso combinado de tantas por parte del virus ha hecho que sea inusualmente difícil de erradicar. ^[30] También se cree que los autores desconocidos del virus están rastreando los esfuerzos anti-malware de los operadores de red y las fuerzas del orden y han lanzado periódicamente nuevas variantes para cerrar las propias vulnerabilidades del virus. ^{[31] [32]}

Se conocen cinco variantes del virus Conficker que han sido denominadas Conficker A, B, C, D y E. Fueron descubiertas el 21 de noviembre de 2008, el 29 de diciembre de 2008, el 20 de febrero de 2009, el 4 de marzo de 2009 y el 7 de abril de 2009, respectivamente. ^{[33] [34]} El Grupo de Trabajo Conficker utiliza nombres de A, B, B++, C y E para las mismas variantes respectivamente. Esto significa que (CWG) B++ es equivalente a (MSFT) C y (CWG) C es equivalente a (MSFT) D.

Infección inicial

• Las variantes A, B, C y E explotan una vulnerabilidad en el Servicio de Servidor en computadoras con Windows, en la que una computadora de origen ya infectada utiliza una solicitud RPC especialmente diseñada para forzar un desbordamiento del búfer y ejecutar shellcode en la computadora de destino. ^[48] ​​En la computadora de origen, el virus ejecuta un servidor HTTP en un puerto entre 1024 y 10000; el shellcode de destino se conecta nuevamente a este servidor HTTP para descargar una copia del virus en formato DLL , que luego adjunta a svchost.exe . ^[39] Las variantes B y posteriores pueden adjuntarse a un proceso de Services.exe o del Explorador de Windows en ejecución . ^[32] La función de confianza de la aplicación de un firewall instalado puede detectar la conexión a esos procesos.
• Las variantes B y C pueden ejecutar copias de sí mismas de forma remota a través del recurso compartido ADMIN$ en computadoras visibles a través de NetBIOS . Si el recurso compartido está protegido con contraseña, se intenta un ataque de diccionario , lo que podría generar grandes cantidades de tráfico de red y activar las políticas de bloqueo de cuentas de usuario. ^[49]
• Las variantes B y C colocan una copia de su formato DLL en la papelera de reciclaje de cualquier medio extraíble adjunto (como unidades flash USB), desde donde luego pueden infectar nuevos hosts a través del mecanismo de ejecución automática de Windows ^[22] usando una ejecución automática manipulada . inf .

Para iniciarse durante el arranque del sistema, el virus guarda una copia de su formato DLL en un nombre de archivo aleatorio en el sistema Windows o en la carpeta system32, luego agrega claves de registro para que svchost.exe invoque esa DLL como un servicio de red invisible. ^[32]

Propagación de carga útil

El virus tiene varios mecanismos para enviar o extraer cargas útiles ejecutables a través de la red. El virus utiliza estas cargas útiles para actualizarse a variantes más nuevas e instalar malware adicional.

• La variante A genera una lista de 250 nombres de dominio todos los días en cinco TLD . Los nombres de dominio se generan a partir de un generador de números pseudoaleatorios (PRNG) con la fecha actual para garantizar que cada copia del virus genere los mismos nombres todos los días. Luego, el virus intenta una conexión HTTP con cada nombre de dominio, esperando de cada uno de ellos una carga útil firmada. ^[32]
• La variante B aumenta el número de TLD a ocho y tiene un generador modificado para producir nombres de dominio separados de los de A. ^[32]
  • Para contrarrestar el uso de nombres de dominio pseudoaleatorios por parte del virus, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) y varios registros de TLD comenzaron en febrero de 2009 una prohibición coordinada de transferencias y registros para estos dominios. ^[50] La variante D contrarresta esto generando diariamente un grupo de 50.000 dominios en 110 TLD, de los cuales elige aleatoriamente 500 para probar ese día. Los nombres de dominio generados también se acortaron de 8 a 11 a 4 a 9 caracteres para hacerlos más difíciles de detectar con heurísticas . Es poco probable que este nuevo mecanismo de extracción (que estuvo deshabilitado hasta el 1 de abril de 2009) ^{[33] [42]} propague cargas útiles a más del 1% de los hosts infectados por día, pero se espera que funcione como un mecanismo de siembra para los pares del virus. red entre pares. ^[35] Sin embargo, se espera que los nombres más cortos generados colisionen con 150 a 200 dominios existentes por día, lo que podría causar un ataque distribuido de denegación de servicio (DDoS) en los sitios que prestan servicios a esos dominios. Sin embargo, la gran cantidad de dominios generados y el hecho de que no se contactará con todos los dominios durante un día determinado probablemente evitarán situaciones DDoS. ^[51]
• La variante C crea una canalización con nombre , a través de la cual puede enviar URL para cargas útiles descargables a otros hosts infectados en una red de área local . ^[42]
• Las variantes B, C y E realizan parches en memoria de las DLL relacionadas con NetBIOS para cerrar MS08-067 y detectar intentos de reinfección a través de la misma vulnerabilidad. Se permite la reinfección desde versiones más recientes de Conficker, lo que convierte efectivamente la vulnerabilidad en una puerta trasera de propagación . ^[38]
• Las variantes D y E crean una red peer-to-peer ad hoc para impulsar y extraer cargas útiles a través de Internet en general. Este aspecto del virus está muy confuso en el código y no se comprende completamente, pero se ha observado que utiliza escaneo UDP a gran escala para crear una lista de pares de hosts infectados y TCP para transferencias posteriores de cargas firmadas. Para dificultar el análisis, los números de puerto para las conexiones se obtienen a partir de la dirección IP de cada par. ^{[40] [42]}

Blindaje

Para evitar que las cargas útiles sean secuestradas, las cargas útiles de la variante A se cifran primero con hash SHA -1 y RC4 con el hash de 512 bits como clave . Luego, el hash se firma RSA con una clave privada de 1024 bits. ^[39] La carga útil se descomprime y ejecuta solo si su firma se verifica con una clave pública incorporada en el virus. Las variantes B y posteriores utilizan MD6 como función hash y aumentan el tamaño de la clave RSA a 4096 bits. ^[42] Conficker B adoptó MD6 apenas unos meses después de su primera publicación; Seis semanas después de que se descubriera una debilidad en una versión anterior del algoritmo y se publicara una nueva versión, Conficker actualizó al nuevo MD6. ^[6]

Autodefensa

La forma DLL del virus está protegida contra la eliminación estableciendo su propiedad en " SISTEMA ", lo que impide su eliminación incluso si al usuario se le otorgan privilegios de administrador. El virus almacena una copia de seguridad de esta DLL disfrazada de imagen .jpg en la caché de Internet Explorer de los servicios de red del usuario .

La variante C del virus restablece los puntos de restauración del sistema y desactiva una serie de servicios del sistema como la Actualización automática de Windows , el Centro de seguridad de Windows , Windows Defender y el Informe de errores de Windows . ^[52] Los procesos que coinciden con una lista predefinida de herramientas antivirales, de diagnóstico o de parcheo del sistema son vigilados y finalizados. ^[53] También se aplica un parche en memoria a la DLL de resolución del sistema para bloquear las búsquedas de nombres de host relacionados con proveedores de software antivirus y el servicio Windows Update. ^[42]

Finalizar acción

La variante E del virus fue la primera en utilizar su base de ordenadores infectados con un fin ulterior. ^[46] Descarga e instala, desde un servidor web alojado en Ucrania, dos cargas útiles adicionales: ^[54]

• Waledac , un robot de spam conocido por propagarse a través de archivos adjuntos de correo electrónico. ^[55] Waledac funciona de manera similar al gusano Storm de 2008 y se cree que fue escrito por los mismos autores. ^{[56] [57]}
• SpyProtect 2009, un producto antivirus fraudulento y aterrador . ^[58]

Síntomas

Los síntomas de una infección de Conficker incluyen:

• Las políticas de bloqueo de cuentas se restablecen automáticamente.
• Ciertos servicios de Microsoft Windows, como Actualizaciones automáticas , Servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y Informe de errores de Windows, están deshabilitados.
• Los controladores de dominio responden lentamente a las solicitudes de los clientes.
• Congestión en las redes de área local (inundación de ARP como consecuencia del escaneo de la red).
• Los sitios web relacionados con el software antivirus o el servicio Windows Update se vuelven inaccesibles. ^[59]
• Cuentas de usuario bloqueadas. ^[60]

Respuesta

El 12 de febrero de 2009, Microsoft anunció la formación de un grupo industrial para contrarrestar en colaboración a Conficker. El grupo, que desde entonces ha sido denominado informalmente Conficker Cabal, incluye a Microsoft , Afilias , ICANN , Neustar , Verisign , China Internet Network Information Center , Public Internet Registry, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, investigadores de Georgia Tech , The Shadowserver Foundation, Arbor Networks y Support Intelligence. ^{[6] [31] [61]}

De Microsoft

El 13 de febrero de 2009, Microsoft ofreció una recompensa de 250.000 dólares por información que condujera al arresto y condena de las personas detrás de la creación y/o distribución de Conficker. ^[62]

De registros

ICANN ha buscado la prohibición preventiva de transferencias y registros de dominios de todos los registros de TLD afectados por el generador de dominios del virus. Entre los que han tomado medidas se encuentran:

• El 13 de marzo de 2009, NIC Chile, el registro de ccTLD .cl , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo Conficker y revisó un centenar ya registrado de la lista de gusanos. ^[63]
• El 24 de marzo de 2009, CIRA , la Autoridad Canadiense de Registro de Internet, bloqueó todos los nombres de dominio .ca no registrados previamente que se esperaba que el virus generara durante los próximos 12 meses. ^[64]
• El 27 de marzo de 2009, NIC-Panamá, el registro de ccTLD .pa , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo Conficker. ^{[sesenta y cinco]}
• El 30 de marzo de 2009, SWITCH , el registro suizo de ccTLD , anunció que estaba "tomando medidas para proteger las direcciones de Internet con las terminaciones .ch y .li del gusano informático Conficker". ^[66]
• El 31 de marzo de 2009, NASK , el registro polaco de ccTLD, bloqueó más de 7.000 dominios .pl que se esperaba que el virus generara durante las siguientes cinco semanas. NASK también ha advertido que el tráfico de gusanos puede infligir involuntariamente un ataque DDoS a dominios legítimos que se encuentren en el conjunto generado. ^[67]
• El 2 de abril de 2009, Island Networks, el registro de ccTLD para Guernsey y Jersey , confirmó después de investigaciones y contactos con la IANA que no había nombres .gg o .je en el conjunto de nombres generados por el virus.

A mediados de abril de 2009, todos los nombres de dominio generados por Conficker A habían sido bloqueados con éxito o registrados de forma preventiva, lo que hizo que su mecanismo de actualización fuera ineficaz. ^[68]

Origen

Los miembros del grupo de trabajo declararon en las Black Hat Briefings de 2009 que Ucrania es el origen probable del virus, pero se negaron a revelar más descubrimientos técnicos sobre las partes internas del virus para evitar alertar a sus autores. ^[69] Una variante inicial de Conficker no infectaba sistemas con direcciones IP ucranianas ni con diseños de teclado ucranianos. ^[6] La carga útil de Conficker.E se descargó desde un host en Ucrania. ^[54]

En 2015, Phil Porras, Vinod Yegneswaran y Hassan Saidi, quienes fueron los primeros en detectar y aplicar ingeniería inversa a Conficker, escribieron en el Journal of Sensitive Cyber ​​Research and Engineering , una publicación clasificada sobre ciberseguridad del gobierno de EE. UU. revisada por pares, que rastrearon el malware a un grupo de ciberdelincuentes ucranianos. Porras et al. Creía que los delincuentes abandonaron Conficker después de que se había extendido mucho más de lo que suponían, razonando que cualquier intento de utilizarlo atraería demasiada atención de las autoridades de todo el mundo. Esta explicación es ampliamente aceptada en el campo de la ciberseguridad. ^[dieciséis]

En 2011, en colaboración con el FBI, la policía ucraniana arrestó a tres ucranianos en relación con Conficker, pero no hay registros de que hayan sido procesados ​​o condenados. El sueco Mikael Sallnert fue condenado a 48 meses de prisión en Estados Unidos tras declararse culpable. ^[dieciséis]

Eliminación y detección

Debido al bloqueo de los archivos de virus contra la eliminación mientras el sistema esté en ejecución, la eliminación manual o automática debe realizarse durante el proceso de arranque o con un sistema externo instalado. Eliminar cualquier copia de seguridad existente es un paso crucial.

Microsoft publicó una guía de eliminación del virus y recomendó utilizar la versión actual de su herramienta de eliminación de software malicioso de Windows ^[70] para eliminar el virus y luego aplicar el parche para evitar la reinfección. ^[71] Las versiones más nuevas de Windows son inmunes a Conficker. ^[dieciséis]

Software de terceros

Muchos proveedores de software antivirus de terceros han publicado actualizaciones de detección para sus productos y afirman que pueden eliminar el gusano. El proceso de evolución del malware muestra cierta adopción del software de eliminación común, por lo que es probable que algunos de ellos eliminen o al menos deshabiliten algunas variantes, mientras que otros permanezcan activos o, peor aún, proporcionen un falso positivo al software de eliminación y se activará con el próximo reinicio.

Detección remota automatizada

El 27 de marzo de 2009, Felix Leder y Tillmann Werner del Proyecto Honeynet descubrieron que los hosts infectados por Conficker tienen una firma detectable cuando se escanean de forma remota. ^[39] Desde entonces, el protocolo de comando de igual a igual utilizado por las variantes D y E del virus ha sido parcialmente sometido a ingeniería inversa , lo que permite a los investigadores imitar los paquetes de comando de la red de virus e identificar positivamente las computadoras infectadas en masa. ^{[72] [73]}

Ya están disponibles actualizaciones de firmas para varias aplicaciones de escaneo de red . ^{[74] [75]}

También se puede detectar en modo pasivo rastreando dominios de transmisión en busca de solicitudes ARP repetidas .

CERT DE EE. UU.

El Equipo de Preparación para Emergencias Informáticas de Estados Unidos (US-CERT) recomienda desactivar la ejecución automática para evitar que la variante B del virus se propague a través de medios extraíbles. Antes de la publicación del artículo KB967715 de la base de conocimientos de Microsoft, ^[76] US-CERT describió las pautas de Microsoft para deshabilitar la ejecución automática como "no completamente efectivas" y proporcionó una solución alternativa para deshabilitarlas de manera más efectiva. ^[77] US-CERT también ha puesto a disposición de las agencias federales y estatales una herramienta basada en red para detectar hosts infectados con Conficker. ^[78]

Ver también

• Red de bots
• Cronología de virus y gusanos informáticos destacados
• pastor de robots
• Protección de acceso a la red
• Zombi (informática)
• malware

Referencias

1. "Alerta de virus sobre el gusano Win32/Conficker". Microsoft .
2. Protéjase del gusano informático Conficker, Microsoft, 9 de abril de 2009, archivado desde el original el 27 de junio de 2009 , consultado el 28 de abril de 2009
3. BetaFred (8 de junio de 2023). "Boletín de seguridad de Microsoft MS08-067: crítico". aprender.microsoft.com . Consultado el 7 de septiembre de 2023 .
4. "CVE - CVE-2008-4250". cve.mitre.org . Consultado el 7 de septiembre de 2023 .
5. Markoff, John (26 de agosto de 2009). "Desafiando a los expertos, el código informático fraudulento aún acecha". Los New York Times . Archivado desde el original el 18 de mayo de 2017 . Consultado el 27 de agosto de 2009 .
6. Bowden, Mark (junio de 2010), The Enemy Within, The Atlantic , archivado desde el original el 28 de febrero de 2012 , recuperado 15 de mayo de 2010
7. Markoff, John (22 de enero de 2009). "El gusano infecta millones de computadoras en todo el mundo". Los New York Times . Archivado desde el original el 25 de febrero de 2020 . Consultado el 23 de abril de 2009 .
8. McMillan, Robert (15 de abril de 2009), "Los expertos discuten sobre los números de Conficker", Techworld , IDG , archivado desde el original el 16 de abril de 2009 , recuperado 23 de abril 2009
9. "El reloj marca el código de ataque de gusano". Noticias de la BBC en línea . BBC. 20 de enero de 2009. Archivado desde el original el 16 de enero de 2009 . Consultado el 16 de enero de 2009 .
10. Sullivan, Sean (16 de enero de 2009). "Lista de bloqueo preventivo y más números de caída". F-Seguro . Archivado desde el original el 2 de marzo de 2009 . Consultado el 16 de enero de 2009 .
11. Neild, Barry (16 de enero de 2009), Downadup Worm expone millones de PC al secuestro, CNN, archivado desde el original el 21 de enero de 2009 , recuperado 18 de enero de 2009
12. El virus ataca a 15 millones de PC, UPI , 26 de enero de 2009, archivado desde el original el 2 de abril de 2009 , recuperado 25 de marzo de 2009
13. Informe de inteligencia de seguridad de Microsoft: volumen 11 (PDF) , Microsoft, 2011, archivado (PDF) desde el original el 18 de octubre de 2011 , consultado el 1 de noviembre de 2011
14. Informe de inteligencia de seguridad de Microsoft: volumen 10 (PDF) , Microsoft, 2010, archivado (PDF) desde el original el 6 de octubre de 2011 , consultado el 1 de noviembre de 2011
15. Abriendo una lata de gusanos: ¿Por qué Conficker simplemente no muere, muere, muere?, ZDNet , 10 de junio de 2015, archivado desde el original el 18 de enero de 2017 , recuperado 17 de enero 2017
16. Bowden, Mark (29 de junio de 2019). "El gusano que casi se comió Internet". Los New York Times . Archivado desde el original el 30 de junio de 2019 . Consultado el 30 de junio de 2019 .
17. Grigonis, Richard (13 de febrero de 2009), Recompensa de 5 millones de dólares de Microsoft para los creadores del gusano Conficker, IP Communications, archivado desde el original el 16 de febrero de 2009 , recuperado 1 de abril 2009
18. Phillips, Joshua, Centro de protección de malware - Entrada: Gusano:Win32/Conficker.A, Microsoft , archivado desde el original el 18 de junio de 2009 , consultado el 1 de abril de 2009
19. Leffall, Jabulani (15 de enero de 2009). "El gusano Conficker sigue causando estragos en los sistemas Windows". Noticias informáticas del gobierno. Archivado desde el original el 20 de febrero de 2009 . Consultado el 29 de marzo de 2009 .
20. Boletín de seguridad de Microsoft MS08-067: crítico; Una vulnerabilidad en el servicio del servidor podría permitir la ejecución remota de código (958644), Microsoft Corporation, archivado desde el original el 9 de abril de 2010 , consultado el 15 de abril de 2009.
21. Leyden, John (19 de enero de 2009), Tres de cada 10 PC con Windows siguen siendo vulnerables al exploit Conficker, The Register, archivado desde el original el 1 de abril de 2009 , recuperado 20 de enero de 2009
22. Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagación mediante reproducción automática" (PDF) , The Downadup Codex , Symantec , p. 32, archivado (PDF) desde el original el 24 de septiembre de 2015 , consultado el 1 de abril de 2009.
23. Willsher, Kim (7 de febrero de 2009), Aviones de combate franceses en tierra por un gusano informático, Londres: The Daily Telegraph, archivado desde el original el 10 de marzo de 2009 , recuperado 1 de abril 2009
24. Williams, Chris (20 de enero de 2009), Las redes del Ministerio de Defensa siguen plagadas de malware después de dos semanas, The Register, archivado desde el original el 2 de abril de 2009 , recuperado 20 de enero de 2009
25. Williams, Chris (20 de enero de 2009), Conficker se apodera de la red hospitalaria de la ciudad, The Register, archivado desde el original el 2 de abril de 2009 , recuperado 20 de enero de 2009
26. Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (en alemán), PC Professionell, 16 de febrero de 2009, archivado desde el original el 21 de marzo de 2009 , consultado el 1 de abril de 2009
27. Leyden, John (1 de julio de 2009). "Conficker dejó Manchester sin poder emitir multas de tráfico". El registro . Archivado desde el original el 10 de agosto de 2017 . Consultado el 10 de agosto de 2017 .
28. Leyden, John (27 de marzo de 2009), Memorando filtrado dice Conficker pwns Parliament, The Register, archivado desde el original el 17 de diciembre de 2021 , recuperado 29 de marzo de 2009
29. "El virus Conficker llega a las computadoras de la policía de Manchester". Noticias de la BBC . 2 de febrero de 2010. Archivado desde el original el 17 de diciembre de 2021 . Consultado el 2 de febrero de 2010 .
30. Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagación mediante reproducción automática" (PDF) , The Downadup Codex , Symantec , p. 2, archivado (PDF) desde el original el 24 de septiembre de 2015 , consultado el 1 de abril de 2009.
31. Markoff, John (19 de marzo de 2009), "Expertos en informática se unen para cazar gusanos", The New York Times , archivado desde el original el 4 de diciembre de 2016 , recuperado 29 de marzo 2009
32. Phillip Porras ; Hassen Saidi; Vinod Yegneswaran (19 de marzo de 2009), An Analysis of Conficker, SRI International, archivado desde el original el 14 de febrero de 2009 , recuperado 29 de marzo 2009
33. Tiu, Vincent (27 de marzo de 2009), Centro de protección contra malware de Microsoft: información sobre el gusano: Win32/Conficker.D, Microsoft , archivado desde el original el 31 de marzo de 2009 , recuperado 30 de marzo de 2009
34. Macalintal, Iván; Cepe, José; Ferguson, Paul (7 de abril de 2009), DOWNAD/Conficker Watch: ¿Nueva variante en The Mix?, Trend Micro , archivado desde el original el 31 de enero de 2010 , recuperado 7 de abril de 2009
35. Park, John (27 de marzo de 2009), W32.Downadup.C Generación de nombres de dominio pseudoaleatorios, Symantec , archivado desde el original el 16 de marzo de 2018 , recuperado 1 de abril 2009
36. Nahorney, Ben (21 de abril de 2009). "Conectando los puntos: variantes Downadup/Conficker". Symantec . Archivado desde el original el 14 de diciembre de 2009 . Consultado el 25 de abril de 2009 .
37. Chien, Eric (18 de febrero de 2009), Downadup: Locking Itself Out, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 3 de abril de 2009
38. Chien, Eric (19 de enero de 2009), Downadup: distribución de carga útil punto a punto, Symantec , archivado desde el original el 17 de diciembre de 2012 , recuperado 1 de abril 2009
39. Leder, Félix; Werner, Tillmann (7 de abril de 2009), Conozca a su enemigo: contiene Conficker (PDF) , Proyecto HoneyNet, archivado desde el original (PDF) el 12 de junio de 2010 , recuperado 13 de abril 2009
40. W32.Downadup.C Bolsters P2P, Symantec , 20 de marzo de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 1 de abril de 2009
41. Leung, Ka Chun; Kiernan, Sean (6 de abril de 2009), Detalles técnicos de W32.Downadup.C, archivado desde el original el 2 de abril de 2009 , recuperado 10 de abril de 2009
42. Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 de marzo de 2009), An Analysis of Conficker C (borrador), SRI International, archivado desde el original el 14 de febrero de 2009 , recuperado 29 de marzo 2009
43. Fitzgerald, Patrick (9 de abril de 2009), W32.Downadup.E—Back to Basics, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 10 de abril de 2009
44. Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, Microsoft , archivado desde el original el 18 de noviembre de 2016 , recuperado 15 de febrero de 2015
45. Nahorney, Ben; Park, John (21 de abril de 2009), "Connecting The Dots: Downadup/Conficker Variants" (PDF) , The Downadup Codex (2.0 ed.), Symantec , p. 47, archivado (PDF) desde el original el 12 de marzo de 2014 , consultado el 19 de junio de 2009.
46. Keizer, Gregg (9 de abril de 2009), Conficker cobra, instala robots de spam y scareware, Computerworld , archivado desde el original el 17 de abril de 2009 , recuperado 10 de abril de 2009
47. Leung, Kachun; Liu, Yana; Kiernan, Sean (10 de abril de 2009), Detalles técnicos de W32.Downadup.E, Symantec , archivado desde el original el 16 de abril de 2009 , recuperado 10 de abril de 2009
48. Cve-2008-4250, Vulnerabilidades y exposiciones comunes , Departamento de Seguridad Nacional , 4 de junio de 2008, archivado desde el original el 13 de enero de 2013 , consultado el 29 de marzo de 2009
49. "Contraseñas utilizadas por el gusano Conficker". Sofos. Archivado desde el original el 21 de enero de 2009 . Consultado el 16 de enero de 2009 .
50. Robertson, Andrew (12 de febrero de 2009), Microsoft colabora con la industria para interrumpir el gusano Conficker, ICANN , archivado desde el original el 19 de marzo de 2009 , recuperado 1 de abril 2009
51. Leder, Félix; Werner, Tillmann (2 de abril de 2009), Contiene Conficker, Instituto de Ciencias de la Computación, Universidad de Bonn , archivado desde el original el 3 de abril de 2009 , recuperado 3 de abril de 2009
52. Win32/Conficker.C, CA , 11 de marzo de 2009, archivado desde el original el 29 de marzo de 2009 , recuperado 29 de marzo de 2009
53. Centro de protección de malware - Entrada: Gusano:Win32/Conficker.D, Microsoft, archivado desde el original el 2 de junio de 2009 , consultado el 30 de marzo de 2009
54. Krebs, Brian (10 de abril de 2009), "Conficker Worm Awakens, Downloads Rogue Anti-virus Software", The Washington Post , archivado desde el original el 15 de mayo de 2011 , recuperado 25 de abril 2009
55. O'Murchu, Liam (23 de diciembre de 2008), Detalles técnicos de W32.Waledac, Symantec , archivado desde el original el 22 de abril de 2009 , recuperado 10 de abril 2009
56. Higgins, Kelly Jackson (14 de enero de 2009), Storm Botnet regresa, DarkReading, archivado desde el original el 4 de febrero de 2009 , recuperado 11 de abril 2009
57. Coogan, Peter (23 de enero de 2009), Waledac - ¿Adivina cuál es para ti?, Symantec , archivado desde el original el 17 de diciembre de 2012 , recuperado 11 de abril 2009
58. Gostev, Aleks (9 de abril de 2009), La historia interminable, Kaspersky Lab , archivado desde el original el 5 de febrero de 2010 , recuperado 13 de abril 2009
59. "Alerta de virus sobre el gusano Win32/Conficker.B". Microsoft. 15 de enero de 2009. Archivado desde el original el 22 de enero de 2009 . Consultado el 22 de enero de 2009 .
60. "Virusencyclopedie: Gusano: Win32/Conficker.B". Microsoft . Archivado desde el original el 18 de mayo de 2017 . Consultado el 3 de agosto de 2009 .
61. O'Donnell, Adam (12 de febrero de 2009), Microsoft anuncia alianza industrial y recompensa de 250.000 dólares para combatir Conficker, ZDNet, archivado desde el original el 19 de marzo de 2009 , recuperado 1 de abril 2009
62. Microsoft colabora con la industria para interrumpir el gusano Conficker (Microsoft ofrece una recompensa de 250.000 dólares por el arresto y condena de Conficker), Microsoft , 12 de febrero de 2009, archivado desde el original el 15 de febrero de 2009 , recuperado 22 de septiembre 2009
63. NIC Chile participa en esfuerzo mundial en contra del gusano Conficker (en español), NIC Chile, 31 de marzo de 2009, archivado desde el original el 8 de abril de 2009 , recuperado 31 de marzo de 2009
64. CIRA trabaja con socios internacionales para contrarrestar Conficker C, CIRA , 24 de marzo de 2009, archivado desde el original el 29 de abril de 2009 , recuperado 31 de marzo de 2009
65. NIC-Panamá colabora en esfuerzo mundial en contra del Gusano Conficker. (en español), NIC-Panamá, 27 de marzo de 2009, archivado desde el original el 27 de julio de 2011 , recuperado 27 de marzo 2009
66. D'Alessandro, Marco (30 de marzo de 2009), SWITCH tomando medidas para protegerse contra el gusano informático Conficker, SWITCH , archivado desde el original el 2 de abril de 2009 , recuperado 1 de abril 2009
67. Bartosiewicz, Andrzej (31 de marzo de 2009), ¿Jak działa Conficker? (en polaco), Webhosting.pl, archivado desde el original el 25 de julio de 2011 , consultado el 31 de marzo de 2009
68. Maniscalchi, Jago (7 de junio de 2009), Conficker.A DNS Rendezvous Analysis, Digital Threat, archivado desde el original el 16 de agosto de 2009 , recuperado 26 de junio de 2009
69. Greene, Tim (31 de julio de 2009), Charla de Conficker desinfectada en Black Hat para proteger la investigación, Network World , archivado desde el original el 27 de enero de 2010 , recuperado 28 de diciembre de 2009
70. Herramienta de eliminación de software malicioso, Microsoft , 11 de enero de 2005, archivado desde el original el 7 de noviembre de 2012 , consultado el 29 de marzo de 2009
71. Protéjase del gusano informático Conficker, Microsoft , 27 de marzo de 2009, archivado desde el original el 3 de abril de 2009 , consultado el 30 de marzo de 2009
72. Bowes, Ron (21 de abril de 2009), Buscando el punto a punto de Conficker, SkullSecurity, archivado desde el original el 24 de abril de 2009 , recuperado 25 de abril 2009
73. W32.Downadup P2P Scanner Script para Nmap, Symantec , 22 de abril de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 25 de abril de 2009
74. Bowes, Ronald (30 de marzo de 2009), Buscando Conficker con Nmap, SkullSecurity, archivado desde el original el 2 de abril de 2009 , recuperado 31 de marzo de 2009
75. Asadoorian, Paul (1 de abril de 2009), Lanzamiento del complemento de detección de Conficker actualizado, Tenable Security, archivado desde el original el 26 de septiembre de 2010 , recuperado 2 de abril 2009
76. "Cómo deshabilitar la función de ejecución automática en Windows". Microsoft . 27 de marzo de 2009. Archivado desde el original el 3 de marzo de 2015 . Consultado el 15 de abril de 2009 .
77. Alerta técnica de seguridad cibernética TA09-020A: Microsoft Windows no desactiva correctamente la ejecución automática, US-CERT , 29 de enero de 2009, archivado desde el original el 24 de febrero de 2009 , consultado el 16 de febrero de 2009
78. DHS lanza la herramienta de detección de gusanos informáticos Conficker/Downadup, Departamento de Seguridad Nacional , 30 de marzo de 2009, archivado desde el original el 5 de agosto de 2012 , consultado el 1 de abril de 2009

enlaces externos

• Grupo de trabajo Conficker
• Grupo de trabajo de Conficker: lecciones aprendidas
• Gráfico optométrico de Conficker
• Gusano: La Primera Guerra Mundial Digital por Mark Bowden (2011; ISBN 0-8021-1983-2 ); "El 'gusano' que podría derribar Internet", entrevista al autor (audio y transcripción), Fresh Air en NPR , 27 de septiembre de 2011; cubierto preliminarmente por Bowden en el artículo de la revista Atlantic "The Enemy Within" (junio de 2010).