Conficker herättää, alkaa huijaaminen

Uudet marssitilaukset

Keskiviikkona 8. huhtikuuta tietoturva-alan yritykset alkoivat nähdä joitakin Conficker C: n viimeisintä Conficker-makua, saavat päivityksiä salatun peer-to-peer (P2P) -tiedostojen kautta toiminnallisuutta. Security Firm Trend Micro ilmoittaa, että uudet Conficker-ohjeet ovat Korean palvelimelta ja uusi tiedosto luotiin 7. huhtikuuta 2009 kello 07:41:21. Uusi päivitys vahvisti Confickerin suojaukset ja uudet Conficker-toiminnot sammuvat 3. toukokuuta 2009.

Toukokuun 3. päivään asti uudistettu Conficker etsii Internetistä sellaisia ​​tartunnan saaneita Windows-koneita, jotka eivät ole ottaneet Microsoft MS08-67 -suojauspäivää käyttöön. Tämä haku- ja infektointitoiminto poistettiin käytöstä aiemmissa Conficker-lajikkeissa, oletettavasti hallita tulevan botnet-kokoa. Kuitenkin näyttää siltä, ​​että Confickerin kirjoittajat ovat harkinneet tätä strategiaa ja haluavat kasvattaa luomistaan ​​uudelleen. Jotkut Conficker-muunnokset on myös ohjelmoitu tartuttamaan tyhjämättömän tietokoneen, ja sitten kun Conficker on koneessa, madolla on heikkous, jotta muut haittaohjelmatyyppejä, jotka hyödyntävät samaa haavoittuvuutta, voivat estää.

[Lue lisää: haittaohjelmat Windows-tietokoneelta]

Kun Conficker tartuttaa uuden laitteen tai saa sen päivityksen, se yrittää muodostaa yhteyden MySpace.comiin, MSN.comiin, Ebay.comiin, CNN.comiin ja AOL.com-palveluun varmistaakseen, että tietokone on

Confickerin ensimmäinen huijaus paljastui

Uusi Conficker on myös alkanut näyttää perinteisten haittaohjelmien merkkejä. Käyttämällä kirjaan vanhimpia temppuja, nimeltään scareware, uusi Conficker C lataa vakoojaohjelmisto nimeltä Spyware Protect 2009 (kuvassa). F-Securen mukaan se on nimeltään Spyware Guard 2008. Fake-ohjelma toimittaa ponnahdusikkunan, joka kertoo tietokoneesi tartunnan, mutta vain 49,95 dollaria fake antivirusohjelma voi poistaa haittaohjelmat. Sinut ohjataan sitten väärällä verkkosivustolla, johon tietämättömästi syötät kaikki luottokorttitietosi, ja sitten rikolliset nauravat aina pankkiin - pankkiisi, toisin sanoen. Kilpailu huijaus näyttää tulevan Ukrainan palvelimelta Washington Postin mukaan.

Conficker: Spambot valepuvussa?

Conficker, joka on hankala pieni ohjelmointi, näyttää olevan kytketty jollain tavalla Waledac-mato - ja Waledac itse katsotaan päivityksen Storm Worm. Ei ole yksimielisyyttä siitä, mitä Conficker tekee, mutta F-Securen turvallisuusyrityksen mukaan Conficker siirtyy verkkotunnukseen, jonka tiedetään liittyvän Waledaciin ja lataa Waledac-mato. Trend Micro puolestaan ​​sanoo, että Conficker hakee jotain koodia Waledac-verkkotunnuksesta, mutta turvallisuusyritys haluaa tehdä lisätutkimuksia ennen Conficker-Waledac-yhteyden vahvistamista. Kuitenkin Trend Micro ehdottaa, että Conficker voi olla valmis työskentelemään laajamittaisena roskapostina botnetina, joka tunnetaan Waledac-matoista.

Conficker: Enemmän kuin silmänräpäys

Ilmeisesti uudella Confickerillä on enemmän temppuja sen holkki, jota tutkijat eivät vielä ole löytäneet. Vaikka tietoturvaryhmät yrittävät paljastaa kaikki Confickerin viimeisimmät temput ja tweaksit, he tietävät, että Conficker on hereillä ja mato-kirjoittajat alkavat käyttää Conficker-tartunnan saaneita koneita rahan saamiseen. Se, kuinka kauas tämä on menossa, ei tällä hetkellä tunneta.

Mistä lähdemme täältä?

Turvallisuustutkijat alkavat selvittää Confickerin viimeisimmän version ympäröimät mysteerit. Voit suojata itsesi matoista ensin testaamalla järjestelmäsi tartunnalle ja varmista sitten, että sinulla on uusimmat Microsoftin tietoturvakorjaukset ja että virustentorjuntaohjelma on ajan tasalla. Conficker-työryhmällä on yksinkertainen testi tarkistaa, oletko saanut tartuntaa Confickerilla.