Conficker.C es un gusano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.

Si la fecha del sistema es mayor que el 1 de enero de 2009, intenta conectarse a cierta página web para descargar y ejecutar otro tipo de malware en el ordenador afectado.

Por una parte, reduce considerablemente el nivel de protección del ordenador, ya que impide que tanto el usuario como el ordenador puedan conectarse a numerosas páginas web relacionadas con programas antivirus.

Por otra, utiliza contraseñas débiles para acceder a las cuentas de usuario del ordenador afectado y así modificar sus políticas de seguridad.

Conficker.C se propaga explotando la vulnerabilidad MS08-067. Para ello, envía peticiones RPC especialmente diseñadas a otros ordenadores en los que intenta introducir una copia de sí mismo. Además, se propaga a través de unidades compartidas y extraíbles.

Es recomendable descargar e instalar el parche de seguridad para la vulnerabilidad MS08-067. Pulse aquí para acceder a la página web de descarga de este parche.

Conficker.C está diseñado para propagarse explotando una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08- 067.

Además, Conficker.C realiza las siguientes acciones:

• Comprueba la fecha del sistema en las siguientes direcciones web:
  Ask.com
  Google.com
  Baidu.com
  Yahoo.com
  W3.org
  y si ésta es posterior al 1 de enero de 2009, intentará conectarse a una página web para descargar un archivo ejecutable malicioso. La página web a la que se conecta variará en función de la fecha del sistema.
• Deshabilita los siguientes servicios:
  - Windows update, con lo que deshabilita las actualizaciones de Windows.
  - BITS (Background Intelligent Transfer Service), que es un servicio para transferir archivos de Windows.
  - Error reporting service, que permite enviar información a Microsoft sobre errores del sistema operativo, componentes de Windows y programas.
• Impide que tanto el usuario como el ordenador puedan conectarse a las páginas web que contengan las siguientes cadenas de texto:
  ahnlab
  arcabit
  avast
  avg
  avira
  avp
  bit9
  ca
  castlecops
  centralcommand
  cert
  clamav
  comodo
  computerassociates
  cpsecure
  defender
  drweb
  emsisoft
  esafe
  eset
  etrust
  ewido
  fortinet
  f-prot
  f-secure
  gdata
  grisoft
  hacksoft
  hauri
  ikarus
  jotti
  k7computing
  kaspersky
  malware
  mcafee
  microsoft
  nai
  networkassociates
  nod32
  norman
  norton
  panda
  pctools
  prevx
  quickheal
  rising
  rootkit
  sans
  securecomputing
  sophos
  spamhaus
  spyware
  sunbelt
  symantec
  threatexpert
  trendmicro
  vet
  virus
  wilderssecurity
  windowsupdate
  Se trata de páginas web de seguridad, por lo que impediría tanto la actualización de los programas antivirus como el acceso a la información de dichas páginas.
• Modifica las políticas de seguridad de las cuentas de usuario. Para conseguir acceder a las cuentas de usuario, emplea las siguientes contraseñas débiles:
  0123456789
  00000, 0000000, 00000000, 0987654321, 11111, 111111, 1111111, 11111111, 123123, 12321, 123321, 12345, 123456, 1234567, 12345678, 123456789, 1234567890, 1234abcd, 1234qwer, 123abc, 123asd, 123qwe, 1q2w3e, 22222,222222, 2222222, 22222222, 33333, 333333, 3333333, 33333333, 44444, 444444, 4444444, 44444444, 54321, 55555, 555555, 5555555, 55555555, 654321, 66666, 666666, 6666666, 66666666, 7654321, 77777, 777777, 7777777, 77777777, 87654321, 88888, 888888, 8888888, 88888888, 987654321, 99999, 999999, 9999999, 99999999.
  A
  a1b2c3, aaaaa, abc123, academia, access, account, Admin, admin, admin1, admin12, admin123, adminadmin, administrator, anything, asddsa, asdfgh, asdsa, asdzxc.
  
  B
  backup, boss123, business.
  
  C
  campus, changeme, cluster, codename, codeword, coffee, computer, controller, cookie, customer.
  
  D
  database, default, desktop, domain.
  
  E
  example, exchange, explorer.
  
  F
  files, foobar, foofoo, forever, freedom.
  
  G
  games.
  
  H
  home123.
  
  I
  ihavenopass, Internet, internet, intranet.
  
  K
  killer.
  
  L
  letitbe, letmein, Login, login, lotus, love123.
  
  M
  manager, market, money, monitor, mypass,mypassword, mypc123.
  
  N
  nimda, nobody, nopass, nopassword, nothing.
  
  O
  office, oracle, owner.
  
  P
  pass1, pass12, pass123, passwd, Password, password, password1, password12, password123, private, public, pw123.
  
  Q
  q1w2e3, qazwsx, qazwsxedc, qqqqq, qwe123, qweasd, qweasdzxc, qweewq, qwerty, qwewq.
  
  R
  root123, rootroot.
  
  S
  sample, secret, secure, security, server, shadow, share, student, super, superuser, supervisor, system.
  
  T
  temp123, temporary, temptemp, test123, testtest.
  
  U
  unknown.
  
  W
  windows, work123.
  
  X
  xxxxx.
  
  Z
  zxccxz, zxcvb, zxcvbn, zxcxz, zzzzz.