Conficker, Internetin ensimmäinen uhka, saa päivityksen

Turvallisuustutkijat kertovat, että mato, joka on tartuttanut miljoonia tietokoneita maailmanlaajuisesti, on ohjelmoitu uudelleen vahvistamaan puolustuskykyään samalla kun yrittää hyökkäämään enemmän koneita.

Conficker, joka hyödyntää Microsoftin ohjelmiston haavoittuvuus on saastuttanut vähintään 3 miljoonaa tietokonetta ja mahdollisesti jopa 12 miljoonaa, mikä on valtava botnet ja yksi viime vuosien vakavimmista tietoturvaongelmista.

Botnet-verkkojen avulla voidaan lähettää roskapostia ja hyökätä muita verkkosivustoja, mutta heidän täytyy pystyä saamaan uusia ohjeita. Conficker voi tehdä tämän kahdella tavalla: se voi joko yrittää käydä Web-sivustossa ja hakea ohjeita tai vastaanottaa tiedoston muokatun, salatun P-to-P-verkon kautta.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Viimeisen päivän aikana tutkijat Websense ja Trend Micro sanoivat, että jotkut Conficker-tartunnan saaneet tietokoneet saivat binääritiedoston P-to-P: n kautta. Confickerin ohjaimet ovat vaikeuttaneet tietoturvayhteisön pyrkimyksiä saada reittiohjeita Web-sivuston kautta, joten he käyttävät nyt P-to-P-toimintoa, sanoo Rik Ferguson, Trend Micro -yrityksen vanhempi turvallisuusneuvonantaja.

Uusi binääri kertoo, että Conficker aloittaa skannauksen muille tietokoneille, jotka eivät ole korjattaneet Microsoftin haavoittuvuutta, Ferguson sanoi. Aikaisempi päivitys käänsi tämän ominaisuuden pois, mikä viittasi siihen, että Confickerin ohjaimet luulivat, että botnet oli kasvanut liian suureksi.

Mutta nyt, "se varmasti osoittaa, että [Confickerin kirjoittajat] pyrkivät hallitsemaan enemmän koneita", Ferguson sanoi. > Uusi päivitys kertoo myös, että Conficker ottaa yhteyttä MySpace.comen, MSN.com:n, Ebay.com:n, CNN.comin ja AOL.comin kanssa, ilmeisesti vahvistaakseen, että tartunnan saaneesta koneesta on Internet-yhteys, Ferguson sanoi. Se myös estää tartunnan saaneiden tietokoneiden vierailemasta joitakin verkkosivustoja. Aiemmat Conficker-versiot eivät anna ihmisten selata tietoturvayhtiöiden verkkosivustoille.

Toisella kierroksella binääri näytetään ohjelmoitu pysähtymään 3. toukokuuta, mikä sulkee pois uudet toiminnot, hän sanoi.

Se ei ole ensimmäinen kerta, kun Conficker on koodattu aikapohjaisilla ohjeilla. Tietoturvaasiantuntijat kannustivat katastrofiin 1. huhtikuuta, jolloin Confickerin oli määrä tavata noin 500 000 satunnaista verkkosivustoa, jotka sisäinen algoritmi oli luonut saadakseen uusia ohjeita, mutta päivä kului ilman tapahtumia.

Myös huolestuttavia on se, että uusi päivitys kertoo Confickerille ottavan yhteyttä verkkotunnukseen, jonka tiedetään olevan sidoksissa toiseen Walnet-nimiseen botnetiin, Ferguson sanoi. Waledec botnet kasvoi tavalla, joka muistutti Storm-matoa, toinen suuri botnet, joka on nyt haalistunut mutta jota käytetään roskapostin lähettämiseen. Se tarkoittaa, että ehkä sama ryhmä voitaisiin yhdistää kaikkiin kolmeen botnet-verkkoon, Ferguson sanoi.

Vaikka Conficker ei näytä olevan vielä käyttämättä haitallisiin tarkoituksiin, se on edelleen uhka, sanoo Carl Leonard, uhkaustutkimus Websense-päällikkö Euroopassa. P-to-P-toiminnot osoittavat hienostuneisuutta, hän sanoi.

"On ilmeistä, että he ovat tehneet paljon työtä kerätäkseen tämän sarjan koneita", Leonard sanoi. "He haluavat suojella ympäristöään ja käynnistää nämä päivitykset tavalla, jolla he voivat parhaiten hyödyntää niitä."

Kaikki Confickerin tartunnan saaneet tietokoneet eivät välttämättä päivitä nopeasti. P-to-P -päivitystoiminnon käyttämiseksi Conficker-infektoituneen tietokoneen on etsittävä muita tartunnan saaneita tietokoneita, mikä ei ole välitöntä, Ferguson.

Koska turvallisuusasiantuntijat eroavat huomattavasti siitä, kuinka monella tietokoneella sairastuu Conficker, on vaikea sanoa, mikä prosenttiosuus uudella päivityksellä on.

Trend Micro ja Websense ovat molemmat varoittaneet, että tulokset ovat alustavia, koska binääripäivitystä on vielä analysoitava.

Vaikka Microsoft julkaisi viime lokakuussa hätäohjelmistopäivityksen Conficker on edelleen hyödyntänyt sellaisia ​​tietokoneita, joita ei ole oikaistu. Itse asiassa jotkin Conficker-muunnokset todella korjaavat haavoittuvuuden koneen tartunnan jälkeen, joten mikään muu haittaohjelma ei voi hyödyntää sitä.