La forma en que ataca este gusano es potenciando el  intento de  localizar a sus creadores con más energía el miércoles 1 de Abril,  se sabe que con la clara intención de buscar muevas instrucciones, pero afortunadamente,  nada notable ha sucedido más allá de eso, según nos informo el jefe de investigación de la compañía antivirus F-Secure, Mikko Hypponen

El gusano puede tomar el control de computadoras personales con sistema operativo Windows de Microsoft. Está programado para crear una red inmensa de computadoras tomadas subrepticiamente, llamada "botnet" (red robot basada en computadoras "zombis"), para enviar correos masivos no solicitados o realizar probablemente otros ciberdelitos, pero no llegara a  derrumbar la red de redes.

Como protegernos del Gusano Conficker

La primera medida es tener contraseñas sólidas o servicios de registro tipo OpenDNS. La segunda saber si ya estamos infectados. Para ello lo mejor es pasar un antivirus actualizado. Conficker utiliza secuencias aleatorias de caracteres como nombre de archivo, por lo que resulta difícil localizar la infección. Se registra como un servicio del sistema con nombres aleatorios y modifica el registro en los siguientes puntos:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\ [Random name for the service]

Image Path = „%System Root%\system32\svchost.exe -k netsvcs“

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\[Random name for the service]\Parameters

ServiceDll = „[Path and filename of the malware]“

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\

Windows NT\CurrentVersion\SvcHost

También puede detectarse al comprobar que determinados servicios relacionados con la seguridad ya no funcionan:

• Windows Security Center

• Windows AutoUpdate

• Windows Defender

• Error Reporting Service

Asimismo, se impide el acceso a sitios web con las siguientes secuencias de caracteres, entre los que se encuentran las webs de los fabricantes de antivirus más importantes (como G DATA) y portales de información sobre malware:

„virus“, „spyware“, „malware“, „rootkit“, „defender“, „microsoft“,

„symantec“, „norton“, „mcafee“, „trendmicro“, „sophos“, „panda“,

„etrust“, „networkassociates“, „computerassociates“, „f-secure“,

„kaspersky“, „jotti“, „f-prot“, „nod32“, „eset“, „grisoft“,

„drweb“, „centralcommand“, „ahnlab“, „esafe“, „avast“, „avira“,

„quickheal“, „comodo“, „clamav“, „ewido“, „fortinet“, „gdata“,

„hacksoft“, „hauri“, „ikarus“, „k7computing“, „norman“, „pctools“,

„prevx“, „rising“, „securecomputing“, „sunbelt“, „emsisoft“,

„arcabit“, „cpsecure“, „spamhaus“, „castle„wilderssecurity“, „windowsupdate“

Los administradores de red pueden saber cuáles son los ordenados infectados al incrementarse el tráfico en el puerto 445. Tras la infección, Conficker obtiene la dirección IP del ordenador infectado recurriendo a las siguientes páginas:

• http://checkip.dyndns.org

• http://getmyip.co.uk

• http://www.getmyip.org

En base a la fecha, se calculan distintas direcciones actualizadas a través de los siguientes dominios:

• ask.com

• baidu.com

• google.com

• msn.com

• www.w3.org

• yahoo.com

A través de la siguiente dirección de Microsoft puede consultarse una completa guía para la desinfección manual de los sistemas afectados:

http://www.microsoft.com/security/portal/Entry.aspx?Name=Win32/Conficker.

Como el programa malicioso posee una configuración compleja y ataca múltiples puntos del sistema de forma simultánea, la limpieza manual puede ser una lucha titánica. Por ello, recomendamos que los usuarios menos experimentados recurran a las rutinas de eliminación de su software antivirus o a la última versión de MSRT (“Malicious Software Removal Tool“):

http://www.microsoft.com/germany/technet/sicherheit/tools/msrt.mspx