Los analistas de Trend Micro han anunciado en su blog la actualizacion realizada por ordenadores infectados por el virus Conficker, a traves del protocolo P2P. Este nuevo componente tiene fecha de caducidad: el 3 de mayo donde se “autodestruira”.

El analisis de esta nueva version del virus Conficker esta siendo dificultosa porque el virus tiene una ofuscacion de codigo muy potente. Este nuevo componente del virus Conficker fue descargado via P2P de un servidor localizado en Corea, conocido como un nodo de Conficker.

Detectado por Trend Micro como WORM_DOWNAD.E , esta actualizacion instala un nuevo servicio bajo un nombre aleatorio siendo un archivo ejecutable. Este archivo temporal se borra con posterioridad. Dicho componente comienza despues propagandose a otros ordenadores via MS08-067, actuando como un servidor HTTP a traves del puerto 5114, finalizando esta actividad el 3 de mayo como deciamos en el principio del articulo, lo que no se conocen son los motivos exactos.

El gusano se conectara a varios sitios como MySpance, MSN, eBay, CNN y AOL, para determinar si la conexion a Internet esta operatia. De hecho es posible que estos dominios tengan un riesgo de flood con las peticiones de los ordenadores infectados….

“Como esperabamos, las comunicaciones P2P del virus Downad/Conficker son utilizadas para servir una actualizacion al mismo, no siendo por via http” afirma Trend Micro.

Otro de los aspectos mas interesantes de esta actualizacion es que tambien intenta descargar otro archivo encriptado de un dominio asociado a Waledac ( una familia de gusanos, y que es considerado por algunos profesionales de la seguridad informatica como el sucesor del tristemente famoso virus Storm, por sus similitudes entre los dos )

FUENTE