A Conficker, az internet első számú fenyegetése frissítésre kész

A biztonsági kutatók szerint a féreg, amely világszerte több millió számítógépet fertőzött meg, átprogramozta a védelmeit, miközben több gépet is megtámadott.

A Conficker, a Microsoft szoftverek sérülékenysége miatt legalább 3 millió PC-t, esetleg akár 12 millió példányt is fertőzött meg, ami óriási botnet-ként és az elmúlt évek egyik legsúlyosabb számítógépes biztonsági problémájává vált.

A botneteket spamküldésre lehet használni és megtámadnak más weboldalakat, de új utasításokat kell kapniuk. A Conficker ezt a kétféle módon teheti meg: megpróbál meglátogatni egy weboldalt és felvenni az utasításokat, vagy fájlokat kaphat az egyedi, titkosított P-to-P (Peer-to-Peer) hálózaton keresztül.

[További információk: A rosszindulatú programok eltávolítása Windows számítógépről]

Az elmúlt napban a Websense és a Trend Micro kutatói azt mondták, hogy a Confickerrel fertőzött számítógépek bináris fájlt kaptak a P-to-P-nél. A Conficker vezérlőit akadályozták a biztonsági közösség arra irányuló erőfeszítései, hogy útmutatást kapjanak egy weboldalon keresztül, így most használják a P-to-P funkciót, mondta Rik Ferguson, a Trend Micro forgalmazójának vezető biztonsági tanácsadója.

Az új a bináris azt mondja a Confickernek, hogy megpróbálja beolvasni azokat a számítógépeket, amelyek nem javították a Microsoft sérülékenységét - mondta Ferguson. Egy korábbi frissítés kikapcsolta ezt a képességet, amely arra utalt, hogy a Conficker vezérlői valószínűleg úgy gondolták, hogy a botnet túl nagy.

De most, "biztosan azt jelzi, hogy [a Conficker szerzői] több gépet irányítanak" - mondta Ferguson. > Az új frissítés azt is megemlíti a Confickernek, hogy kapcsolatba lépjen a MySpace.com-tal, az MSN.com-tal, az Ebay.com-tal, a CNN.com-tal és az AOL.com-tal, annak ellenére, hogy meggyőződött arról, hogy a fertőzött gép csatlakozik az internethez, mondta Ferguson. Ezenkívül megakadályozza a fertőzött PC-k látogatását néhány weboldalon. A korábbi Conficker verziók nem engedték meg az embereket, hogy böngészhessenek a biztonsági cégek webhelyein.

Egy másik csavar, a bináris program úgy tűnik, hogy programozva állítja le a működését május 3-án, ami leállítja az új funkciókat, mondta. > Ez nem az első alkalom, hogy a Conficker-et időalapú utasításokkal kódoltuk. Számítógépes biztonsági szakemberek április 1-jén katasztrófára támaszkodtak, amikor a Confickernek meg kellett próbálnia megkeresni az algoritmus által létrehozott mintegy 50 ezer véletlen weboldalt 500-at, hogy új utasításokat kaphasson, de a nap elhúzódott.

hogy az új frissítés azt mondja a Confickernek, hogy kapcsolatba lép egy olyan domainnel, amelyről ismert, hogy kapcsolódik egy másik Walnet nevű botnethez, mondta Ferguson. A Waledec botnet olyan módon fejlődött, ami hasonló volt a Storm féreghez, egy másik nagy botnethez, amely elhalványult, de spamre küldött. Ez azt jelenti, hogy talán ugyanaz a csoport kapcsolódhat mindhárom botnethez, "mondta Ferguson.

Bár a Conficker még nem tűnik még rosszindulatú célokra, még mindig fenyegetést jelentett - mondta Carl Leonard, egy fenyegetett kutatás a Websense vezetője Európában. A P-to-P funkcionalitása a kifinomultság szintjét jelzi, mondja. "Nyilvánvaló, hogy sok erőfeszítést tettek a gépek összegyűjtésére" - mondta Leonard. "Meg akarják védeni környezetüket, és el kell indítania ezeket a frissítéseket olyan módon, amennyit csak tudnak a legjobban kihasználni."

A Confickerrel fertőzött számítógépek nem feltétlenül frissülnek gyorsan. A P-to-P frissítési funkciók használatához a Conficker-fertőzött PC-nek más fertőzött számítógépeit kell keresnie, amely nem azonnali, Ferguson.

Mivel a biztonsági szakértők jelentősen eltérnek a számítógépek megfertőződésétől Conficker, nehéz megmondani, hogy mekkora százalékos az új frissítés.

A Trend Micro és a Websense mindketten arra figyelmeztetnek, hogy megállapításaink előzetesek, mivel a bináris frissítés még mindig elemzésre kerül.

Bár a Microsoft tavaly októberben kiadott egy sürgősségi szoftvercsomagot, a Conficker továbbra is kihasználta az olyan PC-ket, amelyeket még nem rögzítettek. Valójában a Conficker egyes változatai ténylegesen feltölti a sérülékenységet a gép fertőzése után, így más rosszindulatú programok nem használhatják ki.