Gusano viejo aprende los trucos de Conficker

Se ha detectado una nueva modificación del gusano Neeris que, en un intento por aumentar su popularidad, está imitando los métodos de propagación del famoso gusano Conficker.

Los creadores de Neeris acaban de lanzar una modificación para que el gusano comience a explotar la vulnerabilidad de Microsoft MS08-067, la misma que abrió las puertas del éxito a Conficker.

Neeris ha estado rondando en Internet desde hace cuatro años, y solía aprovechar la vulnerabilidad MS06-040, mucho más antigua que la que explota Conficker.

Además, Neeris ha comenzado a aprovechar la característica Autorun, lo que le permite ejecutar de forma automática los archivos de los dispositivos externos de almacenamiento.

Se cree que el explotar esta característica es, entre otras cosas, lo que permitió a Conficker propagarse tanto de una forma tan repentina a principios de este año.

Esta nueva versión del programa trata de conectarse a un servidor de comando y control utilizando el puerto 449.

El gusano se instala en el equipo infectado y se configura para ejecutarse cada vez que Windows se inicie. Además, se agrega a sí mismo a la configuración de inicio en modo seguro.

A pesar de las similitudes, los expertos afirman que ambos gusanos han sido creados por distintos autores. Aún así, es posible que los creadores de ambos gusanos hayan estado en contacto durante el desarrollo de sus programas o, al menos, conozcan el trabajo de sus homónimos.

El gusano Neeris se detectó por primera vez en 2005. Al principio se propagaba por programas de mensajería instantánea, pero sus autores lo han ido desarrollando para que también utilice otros métodos de propagación, como infección por dispositivos removibles, servidores SQL con contraseñas débiles, y explotación de vulnerabilidades de Microsoft.