Nuevo Conficker.e pide 49,95$

El pasado miércoles TrendMicro descubrió una nueva variante del gusano Downad.KK/Conflicker.c que han denominado Conficker.e. La versión anterior del mismo usó su funcionalidad P2P para actualizarse y ahora es aún más molesto. Al surgir este tipo de gusanos, siempre cabe la pregunta, ¿qué busca su creador? Fama, notoriedad, daño ajeno. Pero en este caso queda demostrado que ha sido creado por codicia, exige un pago de 49,95 dólares.

Paul Ferguson, de la división de investigación de amenazas de TrendMicro, ha realizado completo informe de la actualización del gusano incluyendo algunos interesantes datos. El primero de ellos es que dejará de funcionar el día 3 de mayo de este año. La versión actual avisa con mensajes falsos de antivirus que informan de amenazas inexistentes junto con un molesto pop-up que exige el pago de casi 50 dólares.
 

Usa un nombre aleatorio y un nombre de servicio aleatorio cuando se instala. Después de la instalación borra el componente inicial. Para prograpagarse hace uso del bug MS08-067 (ya parcheado por Microsoft, por lo que un sistema actualizado no tendrá problemas con él) hacia una dirección IP externa si existe una conexión a Internet válida. Si no, entonces prueba con las direcciones de red LAN. Abre el puerto 5114 y empieza a funcionar como servidor HTTP enviando peticiones SSDP.

      
También se conecta con myspace.com, msn.com, ebay.com, cnn.com y aol.com. Y después de ello borra todos los logs, archivos, registros e historial, etc. Ferguson  también ha observado una conexión a un conocido dominio del virus Waledac (goodnewsdigital.com), que intenta descargarse una versión cifrada del archivo print.exe, aunque de momento tiene que determinar si ha sido una coincidencia fortuita o existe relación entre Conficker y Waledac.