jueves, 2 de abril de 2009

Dominios utilizados por Conficker.C

Como ya habreis leido en algunas otras webs, el 1 de Abril (espero que no sea una broma del fools day, pero parece que no) se activó la última variante del Conficker, su versión C.

Parece ser que especímenes del malware en cuestión han sido ya detectados y analizados, por lo que se dispone del mecanismo que usa para acceder a determinadas direcciones web por http.

La manera que tiene este virus de obtener la dirección a la que debe acceder para descargar información adicional es calculada a partir de la fecha actual del sistema y de un sencillo algoritmo, hasta obtener un total de 50K nombres contra los 250 de sus dos predecesores, lo cual hace que resulta mucho más difícil contenerlo.

Además, a partir de este algoritmo, se ha podido definir el listado de nombres de dominio que utilizará conficker, hoy o en el futuro.

La verdad es que no será fácil incluir toooodos estos nombres de dominios a los filtros de nuestro cortafuegos, pero quizá haya otras soluciones...

Dejadme que lo madure un poquito y pondré otro Post.

No hay comentarios :