Conficker ¿amenaza real o mediática?
La semana pasada no hablamos del virus Conficker porque consideramos, coincidiendo con la opinión de los principales Canales de Seguridad, que se trataba de una amenaza que existía más en la imaginación de algunos medios de IT, que debido a sus posibilidades reales de convertirse en una amenaza con alto grado de dispersión y grandes niveles de impacto. Aquí presentamos un informe sobre los hechos.
Si bien es difícil pensar que un virus que es detectado o identificado por casi el 95% de los antivirus existentes (incluidos los de distribución gratuita) puede llegar a provocar una catástrofe, Conficker llegó a tener una campaña mediática que podría ser envidiada por el presidente Obama.
Ante esta situación los fabricantes de antivirus salieron a anunciar que sus productos controlaban este riesgo desde fines del año pasado y, como siempre, recomendaron la actualización de sus productos. A pesar de esta respuesta moderada, la percepción de que ocurriría algo desastroso siguió creciendo.
La realidad es que el mundo en general e Internet en particular siguieron funcionando luego de atravesar una de las fechas donde se ejecuta parte del código de este malware.
Conficker es otro caso de un virus cuya fama mediática supera sus características técnicas, y es necesario señalar que actualmente están generando infecciones virus muchos más “eficientes” desde el punto de vista funcional, pero que tal vez no tienen el atractivo de ejecutar parte de su código en determinadas fechas para crear falsas expectativas.
A continuación presentamos las tres características técnicas principales de Conficker en cuanto a su impacto real:
– El virus cuenta en su programación con un buen módulo de dispersión, pero un deficiente módulo ataque. Concretamente, desde noviembre del año pasado hasta ahora infectó una cantidad significativa de computadoras, comparándolo con las acciones de otros virus similares, pero lo hizo sin un fin concreto.
– Tiene la posibilidad de infectar a través de memorias USB creando un archivo autorun.ini subrepticio con el cual logra burlar los métodos de bloqueo de autoejecución de Windows.
– Lo que se temía para el 1 de abril era que Conficker actualizara su algoritmo de generación de dominios a 50,000 dominios y tratara de acceder a 500 de ellos una vez al día. Esto no ocasionó el impacto que se esperaba porque la cantidad de computadoras infectadas es mucho menor a lo que los medios especularon y a que el código del virus es defectuoso en las tres versiones del mismo.
– Causaron más daños la enorme cantidad de programas falsos que decían eliminarlo y que en realidad eran troyanos u otra forma de malware.