Al ser primero de abril, luego de lo mucho que se ha hablado y especulado acerca de Conficker, a veces exagerando la noticia, no podemos hacer otra cosa que prevenir una vez más a nuestros usuarios y, para ello, qué mejor que saber lo que ha venido sucediendo hasta el momento con este amenaza.

Como resumen de lo que ha ocurrido hasta ahora alrededor del Conficker dejo un breve línea de tiempo:

  • 23 de octubre de 2008: Microsoft anuncia en el boletín MS08-067 (crítico para todos los sistemas Windows excepto Windows 7 en donde se lo considera importante) una vulnerabilidad que podría permitir ejecución remota de código. Se destaca que dada la criticidad de la vulnerabilidad, Microsoft liberó el parche fuera de su ciclo normal de actualizaciones los segundos martes de cada mes
  • 24 de octubre: anunciamos la primera aparición de un gusano que explota la vulnerabilidad recién parcheada. Se trataba de Gimmiv. Este sería el preludio de todo lo que vendría y por eso reforzamos la necesidad de tomar conciencia del problema de las actualizaciones
  • 21 de noviembre: aparece la primera versión del gusano Conficker (para ESET NOD32, Win32/Conficker.A) y en ese momento lanzamos nuestro primer aviso: Gusano Conficker: parchee inmediatamente
  • 29 de diciembre: aparece la segunda versión del gusano (para ESET NOD32, Win32/Conficker.AA) que utiliza nuevos métodos de propagación por medios extraíbles (Autorun), recursos compartidos y contraseñas débiles. Por esto anunciamos la disponibilidad de la Herramienta de ESET para eliminar Conficker
  • 25 de enero de 2009: las problemas adyacentes a Conficker y estadísticas de infecciones comienzan a preocupar debido a que no se detienen las infecciones
  • 12 de febrero: debido a los problemas, Microsoft anuncia que pagará "una recompensa de U$D 250.000 por información que colabore con el arresto y condena a los responsables de liberar ilegalmente el gusano Conficker"
  • 18 de febrero: continúa los focos infecciosos y la cantidad de usuarios afectados sigue creciendo, sobre todo en Latinoamérica
  • 21 de febrero: se anuncia una nueva variante B++ detectada proactivamente por ESET NOD32.
  • 6 de marzo: aparece una nueva variante identificada públicamente como Conficker.C y detectada proactivamente por ESET NOD32, que incluye técnicas más avanzadas para ocultar la infección.
  • 15 de marzo: se anuncia públicamente que el gusano posee rutinas que se activarán el primero de abril y que podrían descargar nuevas actualizaciones del código
  • 30 de marzo: nuevamente comunicamos las precauciones y las medidas de seguridad para evitar ser infectado
  • hoy, 1 de abril: siendo media mañana en el continente americano aún no se han producido incidentes importantes en el mundo. Por supuesto, y como estaba programado, el gusano activó su rutina de conexión a los dominios pseudo-aleatorios pero hasta ahora no se han producido actualizaciones de su código

Desde el Laboratorio nos encontramos alertas ante cualquier posible aparición o actualización del gusano y los mantendremos informados en caso de ocurrir algo fuera de lo normal.

Cristian