Suposo que recentment haureu sentit parlar d’un cuc que s’està escampant per Internet anomenat Conficker.
Aquest cuc crida l’atenció perquè a part de fer anar lent el PC, a part de instal·lar-se en els PCs perquè algú des de fora els pugui utilitzar per SPAM, robar informació privada, etc, és un dels cucs que més mesures pren per tal de que sigui detectat o eliminat.
Fins ara, quan entrava un virus o cuc al PC, amb algunes eines més o menys rudimentàries podies aturar-lo, i després eliminar-lo. Com a mínim, detectar-lo.
Entre aquestes eines, trobavem el Autoruns, on es mostra el fabricant de l’executable (els virus mai tenen res al camp de fabricant).
O bé mirar la data i la hora de la creació d’un arxiu. Els cucs sempre tenien la data d’avui.
També podiem veure-ho amb el Process Explorer, veient una tasca que tampoc tenia fabricant …
O igualment el Process Monitor, on apareixia una tasca que continuament monitoritzava unes claus de registre o uns arxius per veure si existien, i així sabien si el virus estava actiu o no.
I en quant la seva detecció en les xarxes, tenim eines que detecten el rastreig a través de la xarxa, ja sigui mitjançant el increment de trànsit, la recerca secuencial de ports, etc.
Però ara ha aparescut el Conficker. No és que incorpori tàctiques noves, perquè moltes de les seves accions ja estaven “inventades”, sinó que les agrupa totes, creant una eina de malware molt perillosa i interessant.
Hi ha un informe molt bo a Symantec de més de 30 pàgines que parla de tot això que us estic comentat. És diu Downadup Codex i el podeu trobar a:
I si no voleu llegir-vos el informe, aquí us poso algunes de les característiques més interessants del cuc que realment fan esgarrifar:
- És un cuc que afecta als PCs i servidors amb qualsevol variant moderna de Windows (2000, XP, 2003, 2008 i vista)
- Aquesta vulnerabilitat va ser detectada al Octubre de 2008 per Microsoft.
- A l’infectar un PC, comença a buscar tots els PCs de la xarxa amb els protocols de Windows
- Al conectar-se, mira d’entrar per les carpetes compartides més comuns, incloses les administratives (ADMIN$, C$, etc).
- Com aconsegueix l’usuari, prova de validar-se amb una llista de 250 passwords, que inclouen el admin, el password, el 123456, el usuari al revés, etc.
- Es un executable signat i encriptat per una clau que només la tenen els seus desenvolupadors. El codi maliciós que s’executarà (payload) també està encriptat, i no podem saber què farà.
- S’executa com un servei de Windows, arrencat pel svchost. És a dir, no podem aturar-lo, perquè s’executa com un procés del sistema.
- Va canviant de nom a cada infecció.
- Intenta reinfectar els PCs infectats, per si algú elimina la infecció.
- Recorda els últims 100 PCs infectats, per no repetir-se i delatar-se.
- Quan busca a la xarxa, fa pauses de 100milisegons, per no saturar la xarxa i que sigui detectat. També fa salts en les IPs.
- El seu payload es descarrega d’Internet. Ho descarrega d’una llista aleatoria interna de 50.000 dominis d’Internet. (abans eren 250, però com es va descubrir, es van tancar tots els sites). El creador només cal que registri un d’aquests dominis, posi el codi a la ubicació on es solicitarà pel PC infectat, i podrà executar en TOTS els Pcs infectats el codi que vulgui, sense CAP limitació.
- Passa routers i firewalls que tinguin activat el protocol uPNP. Generalment els dispositius de casa ho tenen activat. És capaç de venir des d’Internet i infectar el PC de casa, encara que aquest no tingui cap port obert.
- La versió més recent fa servir un protocol P2P per distribuïr el payload. Cada PC infectat s’utilitza per distribuïr el codi malicios, a la vegada que el rep dels seus companys de xarxa.
- Quan no pot distribuïr-se mitjançant la xarxa, es guarda a les claus USB, a la funció autoplay. Aquesta funció és la que fa que un CD o un clauer USB arrenqui sol només insertar-lo. Aixì, un usuari que a casa tingui infectat el PC, al portar-lo a la feina, infecta tota la xarxa de la feina.
- De la mateixa manera, només connectant-nos al un Wifi públic o “robat”, ens exposem a la infecció.
- Quan apareix la opció de Autoplay, ens mostra “Open Folder to view files”, i fins i tot ens mostra la icona d’una carpeta de l’explorador de Windows. Però realment al fer click, estarem executant el cuc.
- Si algú mira el arxiu autorun.inf, on s’amaga el autorun, aquest mostra tot de caràcters estranys, i la gent que no ho té molt per la mà pensarà que és un arxiu executable “normal”, sense aixecar sospites.
- L’arxiu que executa es guarda a la paperera, i aquest arxiu té qualsevol extensió, excepte la .DLL.
- Mitjançant una crida al sistema, està pendent de la connexió d’algun nou aparell o unitat de xarxa. I quan ho fem, ho infecta.
- Està escoltant la llista de processos, i mata qualsevol procés d’una llista que inclou les principals eines de troubleshooting de sistemes (les de sysinternals), sniffers, antivirus, referencies als articles de Microsoft que expliquen això, o bé la posibilitat d’instal·lar el pedaç que ho soluciona.
- També atura el servei de System Recovery de Windows XP, i borra totes les copies anteriors del sistema.
- Impedeix la connexió als principals fabricants d’antivirus, i també d’altres pàgines que podrien usar-se per eliminar-ho.
Esgarrifós, no?
Mètodes de prevenció:
Només hi ha un. Posar sempre les actualitzacions del Windows Update. Ja sabem que fa pal, que quan surt el missatge de reiniciar ens fa ràbia, que fins i tot alguna vegada la pifien, però realment és pitjor no posar-les.
Fins ara, quan apareixia una vulnerabilitat de Microsoft o de qualsevol altre fabricant, que tots en tenen, trigaven uns mesos a treure algun exploit que aprofitava aquesta vulnerabilitat per interessos propis.
El cas del Conficker va ser al contrari. Després de apareixer el cuc, es va detectar la vulnerabilitat, quan ja tenim mils de màquines infectades.
Com podem saber si estem infectats? Fàcil. No podreu anar ni a www.microsoft.com, ni a www.symantec.com, ni tant sols obrir aquesta pàgina. Té moltes pàgines i processos limitats segons el seu contigut o adreça IP.
El que podeu fer en cas de problemes, es executar una comanda simple:
net stop dnscache
Aleshores el cuc ja no controla les pàgines que estem mirant. Només caldria anar a una web d’antivírics i baixar-se l’eina per eliminar-lo.
Aprofito aquest article per donar unes recomanacions que caldria aplicar a totes les xarxes, siguin petites o grans:
- Instal·lar el WSUS de Microsoft perquè instal·li de manera forçada les actualitzacions crítiques i de seguretat a tots els PCs de la xarxa. Per qui noho conegui, el WSUS és un programari gratuït de Microsoft que centralitza en una consola la gestió de les actualitzacions dels PCs i servidors d’una xarxa, sempre controlada per l’administrador, tant la freqüència de les actualitzacions, les que estan autoritzades, i la obligatorietat de les mateixes envers l’usuari.
- Revisar periòdicament els servidors per posar els últims pedaços (1 cop a mes)
- Configurar de manera automàtica els servidors que estan DIRECTAMENT connectats a Internet (ISA Server, passarel·les en general)
- Configurar una DMZ i posar els servidors amb serveis a Internet aquí. Una DMZ és una xarxa externa situada en el perímetre on trobem servidors que no contenen dades que només fan de passarel·la per als serveis interns. Ho podem veure aquí: http://ssinyol.wordpress.com/2008/02/26/conceptes-basics/
- No tenir MAI cap servidor que contingui dades o dóni servei intern obert directament contra Internet. Això inclou els servidors Terminal Server, o bé qualsevol servidor de correu o Extranet. Si volem donar aquests serveis, cal posar un servidor passarel·la a la DMZ.
- Si el PC està a casa, fer obligatoria la instal·lació del Windows Update.
- Si no podem actualitzar el PC perquè el Windows és pirata, és millor comprar un Windows, o posar un linux. Tot i que no pot semblar important, el fet de que ens robin les dades d’accés al banc o els comptes de correu electrònic pot acabar per ser crític.
- Vigilar amb el Autorun dels clauers USB. Desactivar-lo si cal.
