El gusano Downadup se prepara para el desarrollo de una botnet

El gusano también conocido como Conficker, que aprovecha una vulnerabilidad de Microsoft para auto-propagarse, ya ha infectado a unos 8,9 millones de ordenadores en todo el mundo

Trend Micro (TS4704), líder global en seguridad de contenidos en Internet, advierte de que el gusano Conficker, también denominado Downadup, se está extendiendo de forma alarmante aprovechando una vulnerabilidad de Microsoft. Recientemente Trend Micro alertó sobre la aparición del gusano .DLL, conocido como WORM_DOWNAD.A <http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EA&VSect=P> que explota la vulnerabilidad MS08-067. Sus rutinas han llevado a los analistas de seguridad de la compañía a considerar que es un componente clave en el desarrollo de una nueva botnet. Inicialmente se pensó que este gusano trabajaba conjuntamente con una variante de NETWORM, pero ahora se cree que se trata de una versión actualizada de un ataque llevado a cabo por un grupo criminal que crea botnets. Desde el punto de vista de Trend Micro, se trata de una amenaza híbrida que combina técnicas antiguas con nuevos métodos y se cree que este puede ser el primer paso en la creación de una nueva red botnet masiva. Según informes recientes, esta amenaza parece que está teniendo un alcance muy amplio afectando a equipos de todo el mundo. Si en un primer momento más de 500.000 servidores habían sido víctimas de este gusano, ahora ya son más de 8,9 millones de ordenadores los que se han visto afectados. El equipo de investigación de Trend Micro ha encontrado servidores infectados en proveedores de servicios de red en Estados Unidos, China, India, Oriente Medio, Europa y Latinoamérica, y varios proveedores de banda ancha para el mercado residencial parece que tienen un importante número de clientes infectados. Actualmente, y a la espera de que se solucione este problema, Trend Micro ofrece protección a los usuarios a través de Trend Micro Smart Protection Networks, así como soluciones para la limpieza y eliminación de WORM_DOWNAD.A. Asimismo, el fabricante continúa monitorizando de cerca esta amenaza.

Nota JLF: Según el Instituto Nacional de Tecnologías de la Comunicación no sólo utiliza la vulnerabilidad mencionada. Es muy susceptible de atacar puertos USB a través de pen drivers, por lo que merece especial atención la aparición de un archivo de nombre "autorun.inf", pero cuidado, es un nombre muy corriente, supongo que por eso lo utilizan, no es conveniente eliminarlo sin más, salvo que claramente se sepa que no tiene por qué estar, pero si aparece es altamente aconsejable que se chequee con un antivirus que detecte el Downadup, aconsejaría informarse, aparte de lo escrito por Trend Micro, en http://alerta-antivirus.inteco.es/portada/index.php pues el peligro es alto.