Bien, mis queridos (???) lectores, es pasada medianoche y está lloviendo. Es el clima ideal para estar durmiendo y no redactando esta nota. Pero acá estoy, sirviendo al bien común, como siempre (???) Nunca aprendo parece….
¿Qué tienen que ver Conficker, un malvado gusano que se la pasa infectando PCs con Windows, y Nmap, el bonito y buen escanner?
Bueno resulta que la gente de HoneyNet Project (Tillmann Werner y Felix Leder) descubrieron una manera de detectar remotamente infecciones de Conficker.
¿Y qué pasa con esto se preguntan?
Bueno, hay una herramienta como prueba de concepto de la gente de HoneyNet Project. Debería funcionar con todas las variantes de Conficker. Esto no garantiza que se detecten todas las infecciones, pero es una buena manera de reducir el riesgo. Se recomienda escanear urgente si tienen la ligera impresión de estar infectados.
¿Y qué tiene que ver el pobre nmap con todo esto?
Parece que Conficker intenta parchear la vulnerabilidad MS08-067 (que es la que usa para infectar) cuando infecta un equipo así nadie más puede aprovecharla para meterse. Bueno, este parcheo que hace no es perfecto, y produce una respuesta particular ante un escaneo. Sí, esto significa que puede saberse si un equipo está infectado con solo escanearlo.
