Un gusano infecta 1.1 millones de PCs con Windows en 24 horas

Un virus de tipo “gusano” aprovechando un antiguo bug de Windows habría infectado a mas de un millón de ordenadores en las ultimas 24 horas. Al menos así lo afirma la famosa empresa de seguridad F-Secure Corp

A primera hora de este miércoles, la empresa de seguridad F-Secure Corp estimaba que 3,5 millones de PCs habían sido comprometidos por el gusano “Downadup”, un aumento de más de 1,1 millones desde el martes.

“Consideramos que se trata de una estimación conservadora“, dijo Sean Sullivan, investigador de F-Secure en una entrada en el blog de la empresa de seguridad. El martes F-Secure afirmaba que el gusano había infectado un numero estimado de 2,4 millones de maquinas.

El virus, del que hablan ya varias empresas de seguridad por su espectacular aumento durante los últimos días, explota un bug de un servicio de Windows Server utilizado por todas las versiones de Microsoft, incluyendo Windows 2000, Xp, Vista, Server 2003 y Server 2008.

El aumento del número de infecciones de “Downadup”, también llamado “Conficker” por algunas empresas de seguridad, ha hecho que Microsoft añada este gusano a su conocida herramienta de eliminación de software malintencionado. Esta herramienta busca malware conocido en una maquina y a continuación realiza una limpieza de todo el sistema.

Al igual que los investigadores de Symantec y Panda Security, Microsoft culpó a los usuarios por no actualizar con los parches preparados para estas infecciones. “Un gran numero de clientes se han puesto en contacto con nuestro equipo de soporte para la asistencia en entornos que, en gran parte, no habían sido parcheados cuando el gusano fue liberado“, según Cristian Craioveanu y Ziv Mador, dos investigadores del Centro de Protección de Malware de Microsoft. “La actualización de seguridad MS08-067 no se había instalado en todos los equipos.”

Ellos afirman que el mayor número de informes de infección han llegado desde EEUU, Canada, México, Corea y varios países Europeos, entre ellos Reino Unido, Francia y Alemania.

F-Secure también informó de que estaba espiando a “Downadup” y su forma de registrar dominios, ya que se piensa que el gusano intentará descargar otros programas maliciosos en los ordenadores infectados. El virus genera cientos de posibles nombres de dominio al día, usando un complejo algoritmo, dijo Mikko Hypponen, jefe de investigación oficial de F-Secure.

“Esto hace que sea imposible y poco práctico para nosotros tratar de cerrarlo todos“, reconoció Hypponen en una entrada del blog. “Los chico malos solo necesitan determinar de antemano un posible dominio para mañana, registrarlo, crear el sitio Web y luego acceder a todas las maquinas infectadas. Muy inteligente.”

Aun así, F-Secure ha recabado suficiente información para tener una idea del numero de ordenadores infectados.

Otras empresas de seguridad han tratado de anticiparse a los piratas informáticos, registrando dominios que pudieran usar, pero sin obtener demasiados resultados. El pasado mes de noviembre, FireEye Inc trató de mantenerse por delante de los ciber-delincuentes que operaban el Botnet, registrando cientos de dominios que eran utilizados para acceder al ejercito de PC Zombies, pero tuvo que abandonar el juego por su elevado coste.

“Hemos registrado un par de cientos de dominios“, dijo Fengmin Gong, jefe de seguridad de FireEye, “pero hemos tomado la decisión de que no podemos permitirnos el lujo de gastar tanto dinero para mantener el registro de tantos dominios“

Tan pronto como FireEye se rindió, los piratas fueron capaces de volver a establecer comunicaciones con su Botnet.

Microsoft recomienda que los usuarios de Windows instalen la actualización de Octubre y, a continuación, ejecuten la “Herramienta de Eliminación de Software Malicioso” que permitirá limpiar el equipo.

Visto en Historias de Queso