Conficker, prijetnja internetom broj 1, dobiva ažuriranje

Sigurnosni istraživači kažu da je crv koji je zaražio milijune računala širom svijeta reprogramiran kako bi ojačao svoje obrane dok je pokušavao napadati i više strojeva.

Conficker, koji iskorištava prednosti ranjivost u Microsoftovom softveru, zarazila je najmanje 3 milijuna računala i možda čak 12 milijuna, čineći ga golemim botnetom i jednim od najtežih problema računalne sigurnosti posljednjih godina.

Botnete se mogu koristiti za slanje neželjene pošte i napadaju druge web stranice, ali moraju biti u mogućnosti primiti nove upute. Conficker može to učiniti na dva načina: može pokušati posjetiti web stranicu i pokupiti upute ili može dobiti datoteku preko vlastite ugrađene šifrirane mreže P-to-P (Peer-to-Peer).

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Tijekom zadnjeg dana, istraživači s Websense i Trend Micro izjavili su da su neki računala zaraženi Confickerom primili binarnu datoteku preko P-to-P. Confickerovi kontroleri su ometani naporima sigurnosne zajednice da dobiju upute putem web stranice pa sada koriste funkciju P-to-P, izjavio je Rik Ferguson, viši savjetnik za sigurnost za dobavljača Trend Micro.

Novi binarni kaže Confickeru da započne skeniranje za druga računala koja nisu zakrpao Microsoftovu ranjivost, rekao je Ferguson. Prethodno ažuriranje uključilo je tu mogućnost, što je nagovijestilo da Confickerovi kontrolori možda misle da je botnet prevelik.

Ali sada, "to svakako označava da [Confickerovi autori] traže kontrolu više strojeva", rekao je Ferguson. > Novo ažuriranje također kaže Confickeru da kontaktira MySpace.com, MSN.com, Ebay.com, CNN.com i AOL.com očito kako bi potvrdio da je zaraženi stroj povezan s internetom, rekao je Ferguson. Također blokira zaražena računala od posjeta nekim web stranicama. Prethodne Confickerove inačice ne dopuštaju ljudima da pregledavaju web stranice sigurnosnih tvrtki.

U drugom obratu, čini se da je binarni program programiran da prestane raditi 3. svibnja, što će isključiti nove funkcije, rekao je. > Ovo nije prvi put da je Conficker kodiran vremenskim uputama. Stručnjaci za računalnu sigurnost su se pripremali za katastrofu 1. travnja, kada je Conficker trebao pokušati posjetiti 500 od oko 50.000 slučajnih web stranica koje je generirao interni algoritam kako bi dobili nove upute, ali dan je prošao bez incidenta. je da novo ažuriranje kaže Confickeru da se obratite domenu za koju se zna da je povezana s drugim botnetom zvanim Waledec, rekao je Ferguson. Waledec botnet rastao je na način koji je bio sličan Stormovom crvu, još jednom velikom botnetu koji je sada izblijedio, ali je korišten za slanje neželjene pošte. To znači da bi možda ista skupina mogla biti povezana sa sve tri botnete, rekao je Ferguson.

Iako se čini da Conficker još nije korišten za zlonamjerne svrhe, ona i dalje ostaje prijetnja, rekao je Carl Leonard, istraživanje prijetnje voditelj za Websense u Europi. P-to-P funkcionalnost ukazuje na razinu sofisticiranosti, rekao je.

"Očito je da su uložili mnogo truda u prikupljanje ove serije strojeva", rekao je Leonard. "Oni žele zaštititi svoje okruženje i pokrenuti ta ažuriranja na način na koji ih mogu najbolje iskoristiti."

Nisu sva računala zaražena Confickerom nužno brzo ažurirana. Da biste koristili funkciju ažuriranja P-to-P, računalo sa zaraženom računalom Conficker mora tražiti druge zaražene računala, što nije trenutačno Ferguson.

Budući da se sigurnosni stručnjaci znatno razlikuju od toga koliko računala mogu biti zaražene Conficker, teško je reći koji postotak ima novo ažuriranje.

Trend Micro i Websense upozorili su da su njihovi nalazi preliminarni, budući da se binarno ažuriranje još uvijek analizira.

Iako je Microsoft prošli listopad objavio hitnu softversku zakrpu, Conficker nastavio se iskoristiti onih računala koja nisu skrivena. U stvari, neke varijante Confickera zapravo će zakrpiti ranjivost nakon što je stroj zaražen, tako da niti jedan drugi zlonamjerni softver ne može iskoristiti prednost.