Conficante

Gusano informático

Conficker , también conocido como Downup , Downadup y Kido , es un gusano informático que ataca al sistema operativo Microsoft Windows y que fue detectado por primera vez en noviembre de 2008. ^[2] Utiliza fallas en el software del sistema operativo Windows (MS08-067 / CVE-2008-4250) ^{[3] [4]} y ataques de diccionario a las contraseñas de administrador para propagarse mientras forma una botnet , y ha sido inusualmente difícil de contrarrestar debido a su uso combinado de muchas técnicas avanzadas de malware. ^{[5] [6]} El gusano Conficker infectó millones de computadoras, incluidas computadoras gubernamentales, comerciales y domésticas en más de 190 países, lo que lo convierte en la infección de gusano informático más grande conocida desde el gusano SQL Slammer de 2003. ^[7]

A pesar de su amplia propagación, el gusano no causó mucho daño, tal vez porque sus autores –que se cree eran ciudadanos ucranianos– no se atrevieron a usarlo debido a la atención que atraía. ^{[ cita requerida ]} Cuatro hombres fueron arrestados, y uno de ellos se declaró culpable y fue sentenciado a cuatro años de prisión.

Predominio

Las estimaciones del número de computadoras infectadas fueron difíciles porque el virus cambió su estrategia de propagación y actualización de una versión a otra. ^[8] En enero de 2009, el número estimado de computadoras infectadas oscilaba entre casi 9 millones ^{[9] [10] [11]} y 15 millones. ^[12] Microsoft ha informado que el número total de computadoras infectadas detectadas por sus productos antimalware se ha mantenido estable en alrededor de 1,7 millones desde mediados de 2010 hasta mediados de 2011. ^{[13] [14]} A mediados de 2015, el número total de infecciones había disminuido a aproximadamente 400.000, ^[15] y se estimó en 500.000 en 2019. ^[16]

Historia

Nombre

Se cree que el origen del nombre Conficker es una combinación del término inglés "configure" y el término peyorativo alemán Ficker (engl. fucker ). ^[17] El analista de Microsoft Joshua Phillips da una interpretación alternativa del nombre, describiéndolo como una reorganización de partes del nombre de dominio Trafficconverter.biz ^[18] (con la letra k, que no se encuentra en el nombre de dominio, agregada como en "trafficker", para evitar un sonido c "suave") que fue utilizado por las primeras versiones de Conficker para descargar actualizaciones.

Descubrimiento

La primera variante de Conficker, descubierta a principios de noviembre de 2008, se propagó a través de Internet explotando una vulnerabilidad en un servicio de red (MS08-067) en Windows 2000 , Windows XP , Windows Vista , Windows Server 2003 , Windows Server 2008 y Windows Server 2008 R2 Beta. ^[19] Si bien Windows 7 puede haber sido afectado por esta vulnerabilidad, la versión Beta de Windows 7 no estuvo disponible públicamente hasta enero de 2009. Aunque Microsoft lanzó un parche fuera de banda de emergencia el 23 de octubre de 2008 para cerrar la vulnerabilidad, ^[20] una gran cantidad de PC con Windows (estimada en un 30%) permanecieron sin parche hasta enero de 2009. ^[21] Una segunda variante del virus, descubierta en diciembre de 2008, agregó la capacidad de propagarse a través de redes LAN mediante medios extraíbles y recursos compartidos de red . ^[22] Los investigadores creen que estos fueron factores decisivos para permitir que el virus se propagara rápidamente.

Impacto en Europa

El 15 de enero de 2009, Intramar, la red informática de la Armada francesa , fue infectada con Conficker. Posteriormente, la red fue puesta en cuarentena, lo que obligó a los aviones de varias bases aéreas a permanecer en tierra porque no se podían descargar sus planes de vuelo. ^[23]

El Ministerio de Defensa del Reino Unido informó que algunos de sus principales sistemas y computadoras de escritorio estaban infectados. El virus se había propagado por oficinas administrativas, computadoras de escritorio NavyStar/N* a bordo de varios buques de guerra y submarinos de la Marina Real Británica, y los hospitales de la ciudad de Sheffield informaron que habían infectado más de 800 computadoras. ^{[24] [25]}

El 2 de febrero de 2009, la Bundeswehr , las fuerzas armadas unificadas de Alemania, informó que alrededor de cien de sus computadoras estaban infectadas. ^[26]

En febrero de 2009, una infección del sistema informático del Ayuntamiento de Manchester causó daños por un valor estimado de 1,5 millones de libras esterlinas. Se prohibió el uso de memorias USB, ya que se creía que eran el vector de la infección inicial. ^[27]

El 24 de marzo de 2009 , el director del servicio de TIC del Parlamento británico informó a los usuarios de la Cámara de los Comunes de que el virus había infectado la red. El memorando, que se filtró posteriormente, instaba a los usuarios a evitar conectar a la red cualquier equipo no autorizado. ^[28]

En enero de 2010, la red informática de la Policía de Gran Manchester se vio infectada, lo que provocó su desconexión durante tres días del Ordenador Nacional de la Policía como medida de precaución; durante ese tiempo, los agentes tuvieron que pedir a otras fuerzas que realizaran controles rutinarios de vehículos y personas. ^[29]

Operación

Aunque casi todas las técnicas avanzadas de malware utilizadas por Conficker ya se han utilizado en el pasado o son bien conocidas por los investigadores, el uso combinado de tantas técnicas por parte del virus ha hecho que sea inusualmente difícil erradicarlo. ^[30] También se cree que los autores desconocidos del virus están siguiendo los esfuerzos antimalware de los operadores de red y las fuerzas del orden y han lanzado regularmente nuevas variantes para cerrar las vulnerabilidades del propio virus. ^{[31] [32]}

Se conocen cinco variantes del virus Conficker, que se han denominado Conficker A, B, C, D y E. Se descubrieron el 21 de noviembre de 2008, el 29 de diciembre de 2008, el 20 de febrero de 2009, el 4 de marzo de 2009 y el 7 de abril de 2009, respectivamente. ^{[33] [34]} El Grupo de Trabajo Conficker utiliza los nombres A, B, B++, C y E para las mismas variantes respectivamente. Esto significa que (CWG) B++ es equivalente a (MSFT) C y (CWG) C es equivalente a (MSFT) D.

Infección inicial

• Las variantes A, B, C y E explotan una vulnerabilidad en el Servicio de servidor en computadoras Windows, en la que una computadora de origen ya infectada utiliza una solicitud RPC especialmente diseñada para forzar un desbordamiento de búfer y ejecutar shellcode en la computadora de destino. ^[48] En la computadora de origen, el virus ejecuta un servidor HTTP en un puerto entre 1024 y 10000; el shellcode de destino se conecta de nuevo a este servidor HTTP para descargar una copia del virus en formato DLL , que luego adjunta a svchost.exe . ^[39] Las variantes B y posteriores pueden adjuntarse en cambio a un proceso services.exe en ejecución o al Explorador de Windows . ^[32] La conexión a esos procesos puede ser detectada por la función de confianza de la aplicación de un firewall instalado.
• Las variantes B y C pueden ejecutar copias de sí mismas de forma remota a través del recurso compartido ADMIN$ en equipos visibles a través de NetBIOS . Si el recurso compartido está protegido con contraseña, se intenta un ataque de diccionario , lo que puede generar grandes cantidades de tráfico de red y hacer que se vulneren las políticas de bloqueo de cuentas de usuario. ^[49]
• Las variantes B y C colocan una copia de su formato DLL en la papelera de reciclaje de cualquier medio extraíble conectado (como unidades flash USB), desde donde pueden infectar nuevos hosts a través del mecanismo de ejecución automática de Windows ^[22] usando un autorun.inf manipulado .

Para iniciarse durante el arranque del sistema, el virus guarda una copia de su formato DLL en un nombre de archivo aleatorio en la carpeta del sistema Windows o system32, y luego agrega claves de registro para que svchost.exe invoque esa DLL como un servicio de red invisible. ^[32]

Propagación de carga útil

El virus tiene varios mecanismos para enviar o recibir archivos ejecutables a través de la red. El virus utiliza estos archivos para actualizarse a nuevas variantes e instalar malware adicional.

• La variante A genera una lista de 250 nombres de dominio cada día en cinco TLD . Los nombres de dominio se generan a partir de un generador de números pseudoaleatorios (PRNG) que contiene la fecha actual para garantizar que cada copia del virus genere los mismos nombres cada día. A continuación, el virus intenta establecer una conexión HTTP con cada nombre de dominio, a su vez, esperando que cualquiera de ellos reciba una carga útil firmada. ^[32]
• La variante B aumenta el número de TLD a ocho y tiene un generador ajustado para producir nombres de dominio distintos de los de A. ^[32]
  • Para contrarrestar el uso de nombres de dominio pseudoaleatorios por parte del virus, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) y varios registros de TLD comenzaron en febrero de 2009 una prohibición coordinada de transferencias y registros para estos dominios. ^[50] La variante D contrarresta esto generando diariamente un grupo de 50.000 dominios en 110 TLD, de los cuales elige aleatoriamente 500 para intentar ese día. Los nombres de dominio generados también se acortaron de 8-11 a 4-9 caracteres para hacerlos más difíciles de detectar con heurística . Es poco probable que este nuevo mecanismo de extracción (que estuvo deshabilitado hasta el 1 de abril de 2009) ^{[33] [42]} propague cargas útiles a más del 1% de los hosts infectados por día, pero se espera que funcione como un mecanismo de propagación para la red peer-to-peer del virus. ^[35] Sin embargo, se espera que los nombres generados más cortos colisionen con 150 a 200 dominios existentes por día, lo que podría causar un ataque de denegación de servicio distribuido (DDoS) en sitios que brindan servicio a esos dominios. Sin embargo, la gran cantidad de dominios generados y el hecho de que no todos los dominios serán contactados en un día determinado probablemente evitarán situaciones de DDoS. ^[51]
• La variante C crea una tubería con nombre , a través de la cual puede enviar URL para cargas descargables a otros hosts infectados en una red de área local . ^[42]
• Las variantes B, C y E ejecutan parches en memoria en las DLL relacionadas con NetBIOS para cerrar MS08-067 y vigilar los intentos de reinfección a través de la misma vulnerabilidad. Se permite la reinfección desde versiones más recientes de Conficker, lo que convierte efectivamente la vulnerabilidad en una puerta trasera de propagación . ^[38]
• Las variantes D y E crean una red peer to peer ad hoc para enviar y recibir cargas útiles a través de Internet. Este aspecto del virus está muy oculto en el código y no se comprende del todo, pero se ha observado que utiliza un escaneo UDP a gran escala para crear una lista de pares de hosts infectados y TCP para las transferencias posteriores de cargas útiles firmadas. Para dificultar el análisis, los números de puerto para las conexiones se obtienen a partir de la dirección IP de cada par. ^{[40] [42]}

Blindaje

Para evitar que las cargas útiles sean secuestradas, las cargas útiles de la variante A primero se codifican con SHA-1 y RC4 con el hash de 512 bits como clave . Luego, el hash se firma con RSA con una clave privada de 1024 bits. ^[39] La carga útil se descomprime y se ejecuta solo si su firma se verifica con una clave pública incorporada en el virus. Las variantes B y posteriores utilizan MD6 como su función hash y aumentan el tamaño de la clave RSA a 4096 bits. ^[42] Conficker B adoptó MD6 solo unos meses después de su primera publicación; seis semanas después de que se descubriera una debilidad en una versión anterior del algoritmo y se publicara una nueva versión, Conficker actualizó al nuevo MD6. ^[6]

Autodefensa

La forma DLL del virus está protegida contra la eliminación estableciendo su propiedad como " SYSTEM ", lo que impide su eliminación incluso si al usuario se le otorgan privilegios de administrador. El virus almacena una copia de seguridad de esta DLL camuflada como una imagen .jpg en la caché de Internet Explorer de los servicios de red del usuario .

La variante C del virus restablece los puntos de restauración del sistema y desactiva una serie de servicios del sistema, como Windows Automatic Update , Windows Security Center , Windows Defender y Windows Error Reporting . ^[52] Se vigilan y finalizan los procesos que coinciden con una lista predefinida de herramientas antivirus, de diagnóstico o de parcheo del sistema. ^[53] También se aplica un parche en memoria a la DLL de resolución del sistema para bloquear las búsquedas de nombres de host relacionados con los proveedores de software antivirus y el servicio Windows Update. ^[42]

Finalizar la acción

La variante E del virus fue la primera en utilizar su base de computadoras infectadas para un propósito ulterior. ^[46] Descarga e instala, desde un servidor web alojado en Ucrania, dos cargas útiles adicionales: ^[54]

• Waledac , un robot de spam que se propaga a través de archivos adjuntos en correos electrónicos. ^[55] Waledac funciona de manera similar al gusano Storm de 2008 y se cree que fue escrito por los mismos autores. ^{[56] [57]}
• SpyProtect 2009, un falso producto antivirus de tipo scareware . ^[58]

Síntomas

Los síntomas de una infección por Conficker incluyen:

• Las políticas de bloqueo de cuentas se restablecen automáticamente.
• Ciertos servicios de Microsoft Windows, como Actualizaciones automáticas , Servicio de transferencia inteligente en segundo plano (BITS), Windows Defender y Informes de errores de Windows, están deshabilitados.
• Los controladores de dominio responden lentamente a las solicitudes de los clientes.
• Congestión en redes de área local (inundación de ARP como consecuencia del escaneo de red).
• Los sitios web relacionados con el software antivirus o el servicio Windows Update se vuelven inaccesibles. ^[59]
• Cuentas de usuario bloqueadas. ^[60]

Respuesta

El 12 de febrero de 2009, Microsoft anunció la formación de un grupo industrial para contrarrestar de forma colaborativa el ataque Conficker. El grupo, que desde entonces se ha denominado informalmente Conficker Cabal, incluye a Microsoft , Afilias , ICANN , Neustar , Verisign , China Internet Network Information Center , Public Internet Registry, Global Domains International, M1D Global, America Online , Symantec , F-Secure , ISC, investigadores de Georgia Tech , The Shadowserver Foundation, Arbor Networks y Support Intelligence. ^{[6] [31] [61]}

De Microsoft

El 13 de febrero de 2009, Microsoft ofreció una recompensa de 250.000 dólares estadounidenses por información que condujera al arresto y condena de las personas responsables de la creación y/o distribución de Conficker. ^[62]

De los registros

La ICANN ha solicitado la prohibición preventiva de transferencias y registros de dominios de todos los registros de TLD afectados por el generador de dominios del virus. Entre los que han tomado medidas se encuentran:

• El 13 de marzo de 2009, NIC Chile, el registro del ccTLD .cl , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo Conficker y revisó un centenar ya registrados en la lista de gusanos. ^[63]
• El 24 de marzo de 2009, CIRA , la Autoridad Canadiense de Registro de Internet, bloqueó todos los nombres de dominio .ca no registrados previamente que se esperaba que el virus generara en los próximos 12 meses. ^[64]
• El 27 de marzo de 2009, NIC-Panamá, el registro del ccTLD .pa , bloqueó todos los nombres de dominio informados por el Grupo de Trabajo Conficker. ^[65]
• El 30 de marzo de 2009, SWITCH , el registro de ccTLD suizo , anunció que estaba "tomando medidas para proteger las direcciones de Internet con las terminaciones .ch y .li del gusano informático Conficker". ^[66]
• El 31 de marzo de 2009, NASK , el registro polaco de ccTLD, bloqueó más de 7.000 dominios .pl que se esperaba que el virus generara en las cinco semanas siguientes. NASK también advirtió que el tráfico del gusano podría provocar involuntariamente un ataque DDoS a dominios legítimos que se encuentren en el conjunto generado. ^[67]
• El 2 de abril de 2009, Island Networks, el registro de ccTLD de Guernsey y Jersey , confirmó después de investigaciones y contactos con la IANA que no había nombres .gg o .je en el conjunto de nombres generados por el virus.

A mediados de abril de 2009, todos los nombres de dominio generados por Conficker A habían sido bloqueados con éxito o registrados preventivamente, lo que hizo que su mecanismo de actualización fuera ineficaz. ^[68]

Origen

Los miembros del grupo de trabajo declararon en las Black Hat Briefings de 2009 que Ucrania es el probable origen del virus, pero se negaron a revelar más descubrimientos técnicos sobre el funcionamiento interno del virus para evitar alertar a sus autores. ^[69] Una variante inicial de Conficker no infectó sistemas con direcciones IP ucranianas o con diseños de teclado ucranianos. ^[6] La carga útil de Conficker.E se descargó desde un host en Ucrania. ^[54]

En 2015, Phil Porras, Vinod Yegneswaran y Hassan Saidi –quienes fueron los primeros en detectar y aplicar ingeniería inversa a Conficker– escribieron en el Journal of Sensitive Cyber ​​Research and Engineering , una publicación clasificada y revisada por pares del gobierno estadounidense sobre ciberseguridad, que habían rastreado el malware hasta un grupo de cibercriminales ucranianos. Porras et al. creían que los delincuentes abandonaron Conficker después de que se hubiera propagado mucho más ampliamente de lo que suponían, argumentando que cualquier intento de usarlo atraería demasiada atención de las fuerzas del orden en todo el mundo. Esta explicación es ampliamente aceptada en el campo de la ciberseguridad. ^[16]

En 2011, en colaboración con el FBI, la policía ucraniana detuvo a tres ciudadanos ucranianos en relación con Conficker, pero no hay constancia de que hayan sido procesados ​​o condenados. Un sueco, Mikael Sallnert, fue condenado a 48 meses de prisión en Estados Unidos tras declararse culpable. ^[16]

Eliminación y detección

Debido a que los archivos de virus están bloqueados contra la eliminación mientras el sistema está en funcionamiento, la eliminación manual o automática debe realizarse durante el proceso de arranque o con un sistema externo instalado. La eliminación de cualquier copia de seguridad existente es un paso crucial.

Microsoft publicó una guía de eliminación del virus y recomendó utilizar la versión actual de su herramienta de eliminación de software malintencionado de Windows ^[70] para eliminar el virus y luego aplicar el parche para evitar una nueva infección. ^[71] Las versiones más nuevas de Windows son inmunes a Conficker. ^[16]

Software de terceros

Muchos proveedores de software antivirus de terceros han publicado actualizaciones de detección para sus productos y afirman que pueden eliminar el gusano. El proceso de evolución del malware muestra cierta adopción por parte del software de eliminación habitual, por lo que es probable que algunos de ellos eliminen o al menos desactiven algunas variantes, mientras que otras permanecen activas o, peor aún, envían un falso positivo al software de eliminación y se activan con el siguiente reinicio.

Detección remota automatizada

El 27 de marzo de 2009, Felix Leder y Tillmann Werner del Proyecto Honeynet descubrieron que los hosts infectados con Conficker tienen una firma detectable cuando se escanean de forma remota. ^[39] El protocolo de comando peer-to-peer utilizado por las variantes D y E del virus ha sido modificado parcialmente mediante ingeniería inversa , lo que permite a los investigadores imitar los paquetes de comando de la red del virus e identificar positivamente las computadoras infectadas en masa. ^{[72] [73]}

Ya están disponibles actualizaciones de firmas para varias aplicaciones de escaneo en red . ^{[74] [75]}

También se puede detectar en modo pasivo rastreando dominios de difusión en busca de solicitudes ARP repetidas .

CERTIFICADO DE EE. UU.

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) recomienda desactivar la ejecución automática para evitar que la variante B del virus se propague a través de medios extraíbles. Antes de la publicación del artículo KB967715 de la base de conocimientos de Microsoft, ^[76] US-CERT describió las directrices de Microsoft sobre la desactivación de la ejecución automática como "no totalmente eficaces" y proporcionó una solución alternativa para desactivarla de forma más eficaz. ^[77] US-CERT también ha puesto a disposición de las agencias federales y estatales una herramienta basada en red para detectar hosts infectados con Conficker. ^[78]

Véase también

• Red de bots
• Cronología de los virus y gusanos informáticos más destacados
• Pastor de bots
• Protección de acceso a la red
• Zombie (informática)
• Software malicioso

Referencias

1. "Alerta de virus sobre el gusano Win32/Conficker". Microsoft .
2. Protéjase del gusano informático Conficker, Microsoft, 9 de abril de 2009, archivado desde el original el 27 de junio de 2009 , consultado el 28 de abril de 2009
3. BetaFred (8 de junio de 2023). «Boletín de seguridad de Microsoft MS08-067: crítico». learn.microsoft.com . Consultado el 7 de septiembre de 2023 .
4. "CVE - CVE-2008-4250". cve.mitre.org . Consultado el 7 de septiembre de 2023 .
5. Markoff, John (26 de agosto de 2009). «A pesar de los expertos, todavía acecha un código informático fraudulento». The New York Times . Archivado desde el original el 18 de mayo de 2017. Consultado el 27 de agosto de 2009 .
6. Bowden, Mark (junio de 2010), The Enemy Within, The Atlantic , archivado desde el original el 28 de febrero de 2012 , consultado el 15 de mayo de 2010
7. Markoff, John (22 de enero de 2009). «Un gusano infecta millones de ordenadores en todo el mundo». The New York Times . Archivado desde el original el 25 de febrero de 2020. Consultado el 23 de abril de 2009 .
8. McMillan, Robert (15 de abril de 2009), "Expertos discuten sobre las cifras de Conficker", Techworld , IDG , archivado desde el original el 16 de abril de 2009 , consultado el 23 de abril de 2009
9. "El reloj avanza para que el código de ataque de gusanos se ejecute". BBC News Online . BBC. 20 de enero de 2009. Archivado desde el original el 16 de enero de 2009 . Consultado el 16 de enero de 2009 .
10. Sullivan, Sean (16 de enero de 2009). "Preemptive Blocklist and More Downadup Numbers" (Lista de bloqueo preventiva y más números de Downadup). F-Secure . Archivado desde el original el 2 de marzo de 2009. Consultado el 16 de enero de 2009 .
11. Neild, Barry (16 de enero de 2009), El gusano Downadup expone millones de PCs al secuestro, CNN, archivado del original el 21 de enero de 2009 , consultado el 18 de enero de 2009
12. Virus ataca 15 millones de PCs, UPI , 26 de enero de 2009, archivado desde el original el 2 de abril de 2009 , consultado el 25 de marzo de 2009
13. Informe de inteligencia de seguridad de Microsoft: volumen 11 (PDF) , Microsoft, 2011, archivado (PDF) del original el 18 de octubre de 2011 , consultado el 1 de noviembre de 2011
14. Informe de inteligencia de seguridad de Microsoft: volumen 10 (PDF) , Microsoft, 2010, archivado (PDF) del original el 6 de octubre de 2011 , consultado el 1 de noviembre de 2011
15. Abriendo una caja de Pandora: ¿Por qué Conficker no muere, muere, muere?, ZDNet , 10 de junio de 2015, archivado desde el original el 18 de enero de 2017 , consultado el 17 de enero de 2017
16. Bowden, Mark (29 de junio de 2019). «El gusano que casi se comió Internet». The New York Times . Archivado desde el original el 30 de junio de 2019. Consultado el 30 de junio de 2019 .
17. Grigonis, Richard (13 de febrero de 2009), Microsoft's US$5 million Reward for the Conficker Worm Creators, IP Communications, archivado desde el original el 16 de febrero de 2009 , consultado el 1 de abril de 2009
18. Phillips, Joshua, Malware Protection Center - Entry: Worm:Win32/Conficker.A, Microsoft , archivado desde el original el 18 de junio de 2009 , consultado el 1 de abril de 2009
19. Leffall, Jabulani (15 de enero de 2009). «El gusano Conficker sigue causando estragos en los sistemas Windows». Government Computer News. Archivado desde el original el 20 de febrero de 2009. Consultado el 29 de marzo de 2009 .
20. Boletín de seguridad de Microsoft MS08-067: vulnerabilidad crítica en el servicio de servidor podría permitir la ejecución remota de código (958644), Microsoft Corporation, archivado desde el original el 9 de abril de 2010 , consultado el 15 de abril de 2009
21. Leyden, John (19 de enero de 2009), Tres de cada diez PC con Windows siguen siendo vulnerables al ataque Conficker, The Register, archivado desde el original el 1 de abril de 2009 , consultado el 20 de enero de 2009
22. Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagación por reproducción automática" (PDF) , The Downadup Codex , Symantec , p. 32, archivado (PDF) del original el 24 de septiembre de 2015 , consultado el 1 de abril de 2009
23. Willsher, Kim (7 de febrero de 2009), Aviones de combate franceses en tierra por un gusano informático, Londres: The Daily Telegraph, archivado desde el original el 10 de marzo de 2009 , consultado el 1 de abril de 2009
24. Williams, Chris (20 de enero de 2009), Las redes del Ministerio de Defensa siguen plagadas de malware después de dos semanas, The Register, archivado desde el original el 2 de abril de 2009 , consultado el 20 de enero de 2009
25. Williams, Chris (20 de enero de 2009), Conficker se apodera de la red hospitalaria de la ciudad, The Register, archivado desde el original el 2 de abril de 2009 , consultado el 20 de enero de 2009
26. Conficker-Wurm infiziert hunderte Bundeswehr-Rechner (en alemán), PC Professionell, 16 de febrero de 2009, archivado desde el original el 21 de marzo de 2009 , consultado el 1 de abril de 2009
27. Leyden, John (1 de julio de 2009). «Conficker abandonó Manchester sin poder emitir multas de tráfico». The Register . Archivado desde el original el 10 de agosto de 2017. Consultado el 10 de agosto de 2017 .
28. Leyden, John (27 de marzo de 2009), Un memorando filtrado dice que Conficker ataca al Parlamento, The Register, archivado desde el original el 17 de diciembre de 2021 , consultado el 29 de marzo de 2009
29. "El virus Conficker ataca los ordenadores de la policía de Manchester". BBC News . 2 de febrero de 2010. Archivado desde el original el 17 de diciembre de 2021 . Consultado el 2 de febrero de 2010 .
30. Nahorney, Ben; Park, John (13 de marzo de 2009), "Propagación por reproducción automática" (PDF) , The Downadup Codex , Symantec , pág. 2, archivado (PDF) del original el 24 de septiembre de 2015 , consultado el 1 de abril de 2009
31. Markoff, John (19 de marzo de 2009), "Computer Experts Unite to Hunt Worm", The New York Times , archivado desde el original el 4 de diciembre de 2016 , consultado el 29 de marzo de 2009
32. Phillip Porras ; Hassen Saidi; Vinod Yegneswaran (19 de marzo de 2009), Un análisis de Conficker, SRI International, archivado desde el original el 14 de febrero de 2009 , consultado el 29 de marzo de 2009
33. Tiu, Vincent (27 de marzo de 2009), Centro de protección contra malware de Microsoft: información sobre Worm:Win32/Conficker.D, Microsoft , archivado desde el original el 31 de marzo de 2009 , consultado el 30 de marzo de 2009
34. Macalintal, Ivan; Cepe, Joseph; Ferguson, Paul (7 de abril de 2009), DOWNAD/Conficker Watch: New Variant in The Mix?, Trend Micro , archivado desde el original el 31 de enero de 2010 , consultado el 7 de abril de 2009
35. Park, John (27 de marzo de 2009), W32.Downadup.C Pseudo-Random Domain Name Generation, Symantec , archivado desde el original el 16 de marzo de 2018 , consultado el 1 de abril de 2009
36. Nahorney, Ben (21 de abril de 2009). "Connecting The Dots: Downadup/Conficker Variants". Symantec . Archivado desde el original el 14 de diciembre de 2009. Consultado el 25 de abril de 2009 .
37. Chien, Eric (18 de febrero de 2009), Downadup: Locking Itself Out, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 3 de abril de 2009
38. Chien, Eric (19 de enero de 2009), Downadup: Peer-to-Peer Payload Distribution, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 1 de abril de 2009
39. Leder, Felix; Werner, Tillmann (7 de abril de 2009), Conozca a su enemigo: cómo contener a Conficker (PDF) , HoneyNet Project, archivado desde el original (PDF) el 12 de junio de 2010 , consultado el 13 de abril de 2009
40. W32.Downadup.C refuerza el P2P, Symantec , 20 de marzo de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 1 de abril de 2009
41. Leung, Ka Chun; Kiernan, Sean (6 de abril de 2009), W32.Downadup.C Detalles técnicos, archivado desde el original el 2 de abril de 2009 , consultado el 10 de abril de 2009
42. Porras, Phillip; Saidi, Hassen; Yegneswaran, Vinod (19 de marzo de 2009), An Analysis of Conficker C (borrador), SRI International, archivado desde el original el 14 de febrero de 2009 , consultado el 29 de marzo de 2009
43. Fitzgerald, Patrick (9 de abril de 2009), W32.Downadup.E—Back to Basics, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 10 de abril de 2009
44. Putnam, Aaron, Virus Encyclopedia: Worm:Win32/Conficker.E, Microsoft , archivado desde el original el 18 de noviembre de 2016 , consultado el 15 de febrero de 2015
45. Nahorney, Ben; Park, John (21 de abril de 2009), "Connecting The Dots: Downadup/Conficker Variants" (PDF) , The Downadup Codex (2.0 ed.), Symantec , p. 47, archivado (PDF) del original el 12 de marzo de 2014 , consultado el 19 de junio de 2009
46. Keizer, Gregg (9 de abril de 2009), Conficker gana dinero, instala robots de spam y scareware, Computerworld , archivado desde el original el 17 de abril de 2009 , consultado el 10 de abril de 2009
47. Leung, Kachun; Liu, Yana; Kiernan, Sean (10 de abril de 2009), W32.Downadup.E Technical Details, Symantec , archivado desde el original el 16 de abril de 2009 , consultado el 10 de abril de 2009
48. Cve-2008-4250, Common Vulnerabilities and Exposures , Departamento de Seguridad Nacional , 4 de junio de 2008, archivado desde el original el 13 de enero de 2013 , consultado el 29 de marzo de 2009
49. "Contraseñas utilizadas por el gusano Conficker". Sophos. Archivado desde el original el 21 de enero de 2009. Consultado el 16 de enero de 2009 .
50. Robertson, Andrew (12 de febrero de 2009), Microsoft colabora con la industria para acabar con el gusano Conficker, ICANN , archivado desde el original el 19 de marzo de 2009 , consultado el 1 de abril de 2009
51. Leder, Felix; Werner, Tillmann (2 de abril de 2009), Containing Conficker, Instituto de Ciencias de la Computación, Universidad de Bonn , archivado desde el original el 3 de abril de 2009 , consultado el 3 de abril de 2009
52. Win32/Conficker.C, CA , 11 de marzo de 2009, archivado desde el original el 29 de marzo de 2009 , consultado el 29 de marzo de 2009
53. Malware Protection Center - Entrada: Worm:Win32/Conficker.D, Microsoft, archivado desde el original el 2 de junio de 2009 , consultado el 30 de marzo de 2009
54. Krebs, Brian (10 de abril de 2009), "El gusano Conficker despierta y descarga software antivirus fraudulento", The Washington Post , archivado desde el original el 15 de mayo de 2011 , consultado el 25 de abril de 2009
55. O'Murchu, Liam (23 de diciembre de 2008), W32.Waledac Technical Details, Symantec , archivado desde el original el 22 de abril de 2009 , consultado el 10 de abril de 2009
56. Higgins, Kelly Jackson (14 de enero de 2009), Storm Botnet Makes A Comeback, DarkReading, archivado desde el original el 4 de febrero de 2009 , consultado el 11 de abril de 2009
57. Coogan, Peter (23 de enero de 2009), Waledac – Guess which one is for you?, Symantec , archivado desde el original el 17 de diciembre de 2012 , consultado el 11 de abril de 2009
58. Gostev, Aleks (9 de abril de 2009), La historia interminable, Kaspersky Lab , archivado desde el original el 5 de febrero de 2010 , consultado el 13 de abril de 2009
59. "Alerta de virus sobre el gusano Win32/Conficker.B". Microsoft. 15 de enero de 2009. Archivado desde el original el 22 de enero de 2009. Consultado el 22 de enero de 2009 .
60. "Virusencyclopedie: Worm:Win32/Conficker.B". Microsoft . Archivado desde el original el 18 de mayo de 2017 . Consultado el 3 de agosto de 2009 .
61. O'Donnell, Adam (12 de febrero de 2009), Microsoft anuncia una alianza industrial y una recompensa de 250.000 dólares para combatir Conficker, ZDNet, archivado desde el original el 19 de marzo de 2009 , consultado el 1 de abril de 2009
62. Microsoft colabora con la industria para desmantelar el gusano Conficker (Microsoft ofrece una recompensa de 250.000 dólares por el arresto y la condena de Conficker), Microsoft , 12 de febrero de 2009, archivado desde el original el 15 de febrero de 2009 , consultado el 22 de septiembre de 2009
63. NIC Chile participa en esfuerzo mundial en contra del gusano Conficker (en español), NIC Chile, 31 de marzo de 2009, archivado desde el original el 8 de abril de 2009 , recuperado 31 de marzo de 2009
64. CIRA trabaja con socios internacionales para contrarrestar Conficker C, CIRA , 24 de marzo de 2009, archivado desde el original el 29 de abril de 2009 , consultado el 31 de marzo de 2009
65. NIC-Panamá colabora en esfuerzo mundial en contra del Gusano Conficker. (en español), NIC-Panamá, 27 de marzo de 2009, archivado desde el original el 27 de julio de 2011 , recuperado 27 de marzo 2009
66. D'Alessandro, Marco (30 de marzo de 2009), SWITCH toma medidas para protegerse contra el gusano informático Conficker, SWITCH , archivado desde el original el 2 de abril de 2009 , consultado el 1 de abril de 2009
67. Bartosiewicz, Andrzej (31 de marzo de 2009), ¿Jak działa Conficker? (en polaco), Webhosting.pl, archivado desde el original el 25 de julio de 2011 , consultado el 31 de marzo de 2009
68. Maniscalchi, Jago (7 de junio de 2009), Conficker.A DNS Rendezvous Analysis, Digital Threat, archivado desde el original el 16 de agosto de 2009 , consultado el 26 de junio de 2009
69. Greene, Tim (31 de julio de 2009), Black Hat sanea la conversación sobre Conficker para proteger la investigación, Network World , archivado desde el original el 27 de enero de 2010 , consultado el 28 de diciembre de 2009
70. Malicious Software Removal Tool, Microsoft , 11 de enero de 2005, archivado desde el original el 7 de noviembre de 2012 , consultado el 29 de marzo de 2009
71. Protéjase del gusano informático Conficker, Microsoft , 27 de marzo de 2009, archivado desde el original el 3 de abril de 2009 , consultado el 30 de marzo de 2009
72. Bowes, Ron (21 de abril de 2009), Escaneo de Conficker peer to peer, SkullSecurity, archivado desde el original el 24 de abril de 2009 , consultado el 25 de abril de 2009
73. W32.Downadup P2P Scanner Script for Nmap, Symantec , 22 de abril de 2009, archivado desde el original el 17 de diciembre de 2012 , consultado el 25 de abril de 2009
74. Bowes, Ronald (30 de marzo de 2009), Escaneo de Conficker con Nmap, SkullSecurity, archivado desde el original el 2 de abril de 2009 , consultado el 31 de marzo de 2009
75. Asadoorian, Paul (1 de abril de 2009), Se publicó un complemento de detección de Conficker actualizado, Tenable Security, archivado desde el original el 26 de septiembre de 2010 , consultado el 2 de abril de 2009
76. "Cómo deshabilitar la función de ejecución automática en Windows". Microsoft . 27 de marzo de 2009. Archivado desde el original el 3 de marzo de 2015 . Consultado el 15 de abril de 2009 .
77. Alerta técnica de ciberseguridad TA09-020A: Microsoft Windows no desactiva la ejecución automática correctamente, US-CERT , 29 de enero de 2009, archivado desde el original el 24 de febrero de 2009 , consultado el 16 de febrero de 2009
78. DHS lanza herramienta de detección de gusanos informáticos Conficker/Downadup, Departamento de Seguridad Nacional , 30 de marzo de 2009, archivado desde el original el 5 de agosto de 2012 , consultado el 1 de abril de 2009

Enlaces externos

• Grupo de trabajo sobre Conficker
• Grupo de trabajo Conficker: lecciones aprendidas
• Tabla optométrica de Conficker
• Gusano: La primera guerra mundial digital por Mark Bowden (2011; ISBN 0-8021-1983-2 ); "El 'gusano' que podría derribar Internet", entrevista al autor (audio y transcripción), Fresh Air en NPR , 27 de septiembre de 2011; tratado preliminarmente por Bowden en el artículo de la revista Atlantic "El enemigo interior" (junio de 2010).