viernes, 27 de marzo de 2009

Conficker: colapso total o amarillismo?

El tema de la semana en los foros de seguridad es qué va a pasar el primer día de abril con la versión "C" del gusano Conficker (Downadup) que está programado para cambiar su operación en ese día. La respuesta rápida es que si uno tiene el parche MS08-067 y un antivirus, no le pasará nada y es poco probable que “pase algo en Internet”. Para el resto que ya está infectado con la variante “C”, sólo cambiará su manera de funcionar y no se esperan mayores impactos en Internet. La empresa F-Secure creó un FAQ bastante bueno sobre la relación de la fecha primero de abril y el Conficker; a continuación traduzco algunas preguntas/respuestas de ese FAQ que definitivamente no pueden dejar de leer.

 

P: Escuché que algo realmente malo va a pasar en Internet el 1 de abril. ¿Pasará?

R: No, no realmente.

 

P: En serio, el gusano Conficker va a hacer algo malo el uno de abril, cierto?

R: El gusano Conficker (Downadup) va a cambiar su operación un poco, pero es poco probable que cause algo visible el uno de abril.

 

P: Entonces, qué va a hacer el uno de abril?

R: Hasta ahora, el Conficker ha estado obteniendo datos de 250 dominios diferentes cada día para bajar y ejecutar un programa de actualización. El uno de abril, la última versión de Conficker va a empezar a buscar 500 de 50,000 posibles dominios cada día para hacer lo mismo.

 

P: ¿La última versión? ¿Hay diferentes versiones?

R: Sí, y la última versión no es la más común. La mayoría de las máquinas infectadas están infectadas con la variante B, que empezó a distribuirse en enero. Con la variante B, no pasa nada el uno de abril.

 

P: Entonces, debo de mantener apagada mi PC el uno de abril?

R: No. Deberías de asegurarte que está limpia antes del uno de abril.

 

P: Estoy confundido. ¿Cómo pueden saber de antemano que va a haber un ataque global de virus el primero de abril?

¡Debe de haber una conspiración!

R: Sí, estás confundido. No va a haber un "ataque global de virus". Las máquinas que ya están infectadas puede que hagan algo el uno de abril. Lo sabemos porque hemos llevado a cabo una ingeniería inversa al código y vimos qué es lo que está programado para hacer.