Dragnet: Big Escape / Big Man Part 1 / Big Man Part 2
Sisällysluettelo:
"Nämä kaverilla ei ole minkäänlaisia malleja infrastruktuurin purkamisesta, koska se erottaa ne uhiltaan ", totesi virustentorjunta-alan toimittajan Trend Micro uhkakertomusvastaava Paul Ferguson, joka kutsui Conficker.c: n tekniikan ja suunnittelun" melko paljon "
" He haluavat pitää infrastruktuurin yllä ja paikan päällä, jotta hyvien ihmisten on vaikeampi vastata ja lieventää sitä, mitä he ovat orkestaneet. "
[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]Mato käynnistyy
Conficker.c oli ohjelmoitu luomaan linkki tartunnan saaneista isäntätietokoneista komentokehotepalvelimilla keskiviikkona GMT 1. huhtikuuta. Näiden valvontapalvelimien saavuttamiseksi Conficker.c luo luettelon 50 000 verkkotunnuksesta ja valitsee sitten 500 verkkotunnusta nimiä, joihin haluat ottaa yhteyttä. Tämä prosessi on alkanut, tutkijat sanoivat.
Kuinka monta tietokonetta on saanut tartunnan Conficker.c: llä ei ole vielä tiedossa, mutta Conficker-matojen kaikki versiot saivat yli 10 miljoonan ihmisen arvioidun määrän, mikä tekee tästä yhden suurimmista
Vaikka infektoituneet tietokoneet ovat alkaneet käydä komentopalvelimissa odotetusti, ei ole tapahtunut mitään epätodennäköistä.
"Olemme havainneet, että Conficker tavoittaa, mutta toistaiseksi yksikään palvelin, jonka he yrittävät tavoittaa palvelevat kaikkia uusia haittaohjelmia tai uusia komentoja ", sanoo Toralv Dirro, McAfee Avert Labsin turvallisuusstrategia Saksassa.
Tämä voi merkitä vain sitä, että Confickerin hallitsevat ihmiset odottavat aikaa, odottavat tutkijoita ja tietotekniikan päälliköitä hellittävät vartioitaan ja olettavat, että pahin on ohi.
"Se olisi melko tyhmää, kun kaverit käyttävät Confickeria käyttämään ensimmäistä mahdollisuutta, kun kaikki ovat hyvin innoissaan siitä ja katsovat sitä erittäin huolellisesti", Dirro sanoi. "Jos jotain tapahtui, se todennäköisesti tapahtuu muutamassa päivässä."
Detections, Innoculations Increase
Time ei ole Confickerin puolella. Käyttäjät voivat helposti havaita ja poistaa matoja. Esimerkiksi, jos tietokone ei pysty saavuttamaan Web-sivustoja, kuten McAfee.com, Microsoft.com tai Trendmicro.com, jotka osoittavat tietokoneen saastuneen.
Lisäksi IT-päälliköt voivat helposti havaita liikennettä epäonnistuneista verkkotunnuksista ja estä pääsyä yritysten verkkojen tietokoneisiin. "Pidemmät rikolliset odottavat, vähemmän saastuneita isäntiä he ovat", Dirro sanoi.
Lisäohjeet ovat turva-alan myyjien löysä koalitio ja muut nimeltään Conficker-työryhmä, joka on liimautunut estämään pääsyn verkkotunnuksiin, jotka Conficker yrittää kommunikoida. Mutta ei ole heti selvää, toimivatko nämä ponnistelut, jotka ovat onnistuneet estämään matoon liittyviä aiempia versioita, vastaan Conficker.c: n aktivointi.
"Emme voi todella sanoa, kuinka onnistuneita estää niitä tai estää niitä ei reititys heitä, "Dirro sanoi. "Se mitä näemme, kun ensimmäinen verkkotunnus todella alkaa palvella haittaohjelmia, jos ainakin jokin alkaa tehdä sitä."
Huolimatta aktivoinnin määräajan epävirallisesta kulumisesta Confickerin uhka on edelleen todellinen.
"Nämä kaverit ovat erittäin hienostuneita, erittäin ammattitaitoisia, hyvin määrätietoisia ja hyvin mitattuja siitä, miten he toteuttavat ja tekevät muutoksia asioihin ", Ferguson sanoi ja lisäsi, että Conficker.c on paremmin puolustettu ja selviämpi kuin matojen aikaisemmat versiot. "Tämä aktivointi 1. huhtikuuta oli luultavasti vain mielivaltaista ja valittiin aiheuttamaan hysteriaa."
Jossain vaiheessa Conficker.c: n taustalla olevat ihmiset voisivat yrittää tuottaa tuloja luomastaan botnesta tai heillä olisi muita tarkoituksia.
"Suuri mysteeri on, että siellä on tämä iso kuormattu ase, tämä verkosto miljoonia koneita, jotka ovat tuntemattomien henkilöiden valvonnassa", Ferguson sanoi. "He eivät ole antaneet mitään merkkejä siitä, mitä heidän motiivinsa ovat muut kuin pelaaminen ihmisten kanssa."