Kaspersky y OpenDNS colaboran para reducir a Conficker
OpenDNS ha añadido una prestación a sus servicios de sistema de nombre de dominio (Domain Name System, sus siglas en inglés DNS) para luchar contra un extendido gusano con la ayuda de la compañía de seguridad rusa, Kaspersky Lab.
OpenDNS tiene su propia red de servidores DNS que traducen los nombres de dominio en direcciones IP. La compañía afirma que su sistema es más rápido que utilizar servidores DNS operados por ISP y que ofrece una mayor protección contra el phishing así como otras prestaciones como filtrado de contenido Web.
OpenDNS ahora utiliza una lista de sitios web facilitada por Kaspersky Lab que el gusano Conficker visita para actualizarse. Se cree que el gusano, también conocido como Kido y Downandup, ha infectado hasta 10 millones de PCs al explotar una vulnerabilidad en Windows Server Service de Microsoft, a pesar de que la compañía lanzara un parche el pasado mes de octubre.
Conficker contiene un algoritmo que genera docenas de nuevos nombres de dominio diariamente. Los hackers que controlan Conficker pueden registrar uno de estos nombres de dominios y poner instrucciones o actualizaciones para el malware en el sitio web de forma que Conficker se descargue cuando se registra.
El problema es que nadie sabe que web site será el próximo en activarse o cuándo lo hará. Este mecanismo también es usado por otros controladores de botnet, lo que hace más difícil a los profesionales de la seguridad parar este fenómeno.
OpenDNS trabaja en el problema con una lista de dominios potenciales de Kapersky que Conficker podría visitar y que les impediría operar. Eso significa que si un PC que utiliza OpenDNS se infecta con Conficker, el malware no debería poder actualizarse aunque permaneciera en el PC.
OpenDNS también ha añadido una prestación de protección frente a botnets a sus servicios, lo que avisaría a los administradores en el caso de que tuvieran una máquina infectada.
Conficker ha demostrado ser uno de los gusanos más peligrosos en la memoria reciente. Las infecciones se propagan rápidamente desde el pasado año. Los sistemas se infectan cuando un hacker hace una llamada de procedimiento remoto malicioso(Remote Procedure Call, sus siglas en inglés RPC) a un servidor sin parchear, lo que les permite código arbitrario para operar sobre la máquina. Conficker también utiliza otros métodos de propagación, entre los que se incluyen intentar copiarse a sí mismo en otras máquinas que se comparten en red al adivinar las contraseñas.
Hasta el momento, los controladores de Conficker no han hecho nada malo con la botnet aunque los analistas de seguridad observan la situación de cerca debido al enorme tamaño de la red robot , lo que podría haber asustado a sus controladores de intentar utilizarla para ataques de denegación de servicio o envío de spam.
