A Conficker felkelt, csalás indítása

New Marching Orders

Április 8-án, szerdán a biztonsági cégek megpróbálták megtekinteni a Conficker C változatát, a legújabb Conficker ízeket, frissítéseket kapnak titkosított peer-to-peer (P2P) funkcionalitást. A Trend Micro biztonsági cég arról számolt be, hogy az új Conficker utasítások koreai szerverről érkeztek, és az új fájl 2009. április 7-én, 07:41:21-kor készült. Az új frissítés megerősítette a Conficker védelmét, és az új Conficker funkciók 2009. május 3-án leállnak.

A frissítés dátuma: május 3. A frissített Conficker az interneten olyan nem fertőzött Windows-gépeket keres, amelyek nem alkalmazzák a Microsoft MS08-67 biztonsági javítást. Ez a keresési és fertőzési funkciót a korábbi Conficker fajtáknál kikapcsolták, feltételezhetően egy jövőbeni botnet méretének ellenőrzésére. Úgy tűnik azonban, hogy a Conficker szerzői átgondolták ezt a stratégiát, és még egyszer meg akarják növelni termelésüket. Néhány Conficker változatot is beprogramoznak, hogy megfertőzzék a nem patkolt számítógépet, majd ha a Conficker a gépben van, akkor a féreg feloldja a gyengeséget, hogy megóvja az egyéb sebezhetőségtől eltérő típusú kártevőket.

[További olvasmány: Hogyan távolítsuk el rosszindulatú program Windows PC-jéről]

Ha a Conficker új gépet fertőz vagy frissítést kap, megpróbál csatlakozni a MySpace.com-hoz, az MSN.com-hoz, az Ebay.com-hoz, a CNN.com-hoz és az AOL.com-hoz, hogy ellenőrizze a számítógépet csatlakozott az internethez.

Conficker első átverés

Az új Conficker elkezdte megjeleníteni a hagyományos rosszindulatú programok jeleit is. A könyv egyik legrégebbi trükköt használva az új Conficker C egy hamis antivírus programot (Spyware Protect 2009) (képen) hív fel. Az F-Secure azt mondja, hogy Spyware Guard 2008-nak hívják. A hamis program ezután egy felugró üzenetet küld, amely szerint a számítógép fertőzött, de csak 49,95 dollárért a hamis víruskereső program eltávolíthatja a rosszindulatú programokat. Ezután egy hamis weboldalra irányítod, ahol tudatlanul beírod az összes hitelkártya adatot, majd a bűnözők mindig nevetnek a bank felé - a bankod, vagyis. A "scareware" átverés úgy tűnik, hogy a Washington Post szerint egy szerverből érkezik Ukrajnából.

Conficker: Spambot álruhában?

Conficker, mint egy bonyolult programozás, úgy tűnik valamilyen módon összekapcsolódik a Waledac féreg - és maga a Waledac is tekinthető a viharos féreg frissítésének. Nincs egyetértés arról, hogy mit jelent a Conficker, de az F-Secure biztonsági cég szerint a Conficker egy olyan tartományba fog kerülni, amelyről ismert, hogy társult a Waledacszal és ténylegesen letöltötte a Waledac féreg. A Trend Micro azt állítja, hogy a Conficker egy kódot tölt le a Waledac tartományból, de a biztonsági cég további tanulmányokat szeretne folytatni a Conficker-Waledac kapcsolat megerősítése előtt. A Trend Micro azonban azt javasolja, hogy a Conficker készen áll arra, hogy a Waledac féreg ismert funkciójaként nagy mennyiségű spamming botnet-ként dolgozzon.

Conficker: Több mint a szemmel

Úgy tűnik, az új Confickernek több trükkje van a hüvely, amit a kutatók még nem fedeznek fel. Míg a biztonsági csapatok megpróbálják felfedezni a Conficker legújabb trükköit és csípéseit, tudják, hogy a Conficker ébren van, és a féreg szerzői a Conficker-fertőzött gépekkel kezdik a pénzt keresni. A pillanatig ismeretlen.

Hova menjünk innen?

A biztonsági kutatók a Conficker legfrissebb változatát körülvevő rejtélyek elkezdésével kezdik feloldani a védelmet, a rendszered fertőzésre, majd annak biztosításával, hogy rendelkezel a legfrissebb Microsoft biztonsági javításokkal, és hogy a víruskereső programod naprakész. A Conficker munkacsoportnak egy egyszerű tesztje van arról, hogy fertőzött-e a Confickerrel.