Przebudzenie Confickera, rozpoczęcie oszustwa

Robak Conficker wrócił do działania i po raz kolejny stłumić ekspertów ds. bezpieczeństwa. Jeden z najbardziej skrupulatnie zaprojektowanych szkodliwych programów otrzymał ostatnio aktualizację i zaczyna się zachowywać jak inne robaki. Oto, co się dzieje:

Nowe zamówienia marcowe

W środę, 8 kwietnia firmy ochroniarskie zaczęły dostrzegać niektóre warianty Confickera C, najnowszy smak Confickera, otrzymywać aktualizacje za pośrednictwem szyfrowanego udostępniania plików P2P (peer-to-peer) funkcjonalność. Firma Trend Micro Trend Micro informuje, że nowe instrukcje Confickera pochodzą z serwera w Korei, a nowy plik został utworzony 7 kwietnia 2009 o 07:41:21. Nowa aktualizacja wzmocniła mechanizmy obronne Confickera, a nowe funkcje Confickera zostaną zamknięte 3 maja 2009 roku.

Od 3 maja odświeżony Conficker będzie przeszukiwać Internet pod kątem niezainfekowanych komputerów z systemem Windows, które nie zastosowały poprawki zabezpieczeń MS08-67 firmy Microsoft. Ta funkcja wyszukiwania i infekowania została wyłączona w poprzednich odmianach Confickera, prawdopodobnie w celu kontrolowania rozmiaru przyszłego botnetu. Wydaje się jednak, że autorzy Confickera ponownie przemyśleli tę strategię i chcą jeszcze raz rozwinąć swoje dzieło. Niektóre warianty Confickera są również zaprogramowane do infekowania niezałatanego komputera, a gdy tylko Conficker znajdzie się w komputerze, robak poprawia jego słabość, aby chronić inne typy szkodliwego oprogramowania, które wykorzystują tę samą lukę.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Po tym, jak Conficker infekuje nowy komputer lub zostanie odświeżony, próbuje połączyć się z MySpace.com, MSN.com, Ebay.com, CNN.com i AOL.com, aby sprawdzić, czy komputer jest połączony z Internetem.

Pierwszy oszust Confickla ujawnił

Nowy Conficker zaczął również wykazywać oznaki tradycyjnego złośliwego oprogramowania. Korzystając z jednej z najstarszych sztuczek w książce, zwanej scareware, nowy Conficker C pobiera fałszywy program antywirusowy o nazwie Spyware Protect 2009 (na zdjęciu). F-Secure mówi, że nazywa się Spyware Guard 2008. Fałszywy program wyświetla komunikat informujący, że komputer jest zainfekowany, ale za jedyne 49,95 $ fałszywy program antywirusowy może usunąć złośliwe oprogramowanie. Następnie zostajesz przekierowany do fałszywej strony internetowej, gdzie nieświadomie wpisujesz wszystkie informacje o swojej karcie kredytowej, a następnie przestępcy śmieją się aż do banku - to znaczy twojego banku. Oszustwo scareware wydaje się pochodzić z serwera na Ukrainie, zgodnie z Washington Post.

Conficker: Spambot w przebraniu?

Conficker, będący małym skomplikowanym programowaniem, wydaje się być w jakiś sposób podłączony do robak Waledac - i sam Waledac uważany jest za aktualizację robaka Storm. Nie ma zgody co do tego, co faktycznie robi Conficker, ale według firmy ochroniarskiej F-Secure, Conficker trafia do domeny znanej z powiązania z Waledac i pobierania robaka Waledac. Tymczasem Trend Micro twierdzi, że Conficker pobiera kod z domeny Waledac, ale firma ochroniarska chce przeprowadzić dalsze badania przed potwierdzeniem połączenia Conficker-Waledac. Trend Micro sugeruje jednak, że Conficker może być gotowy do pracy jako botnet spamujący o dużej skali, znana funkcja robaka Waledac.

Conficker: Bardziej niż na oko

Wygląda na to, że nowy Conficker ma więcej sztuczek w rękawie, którego naukowcy jeszcze nie odkryli. Podczas gdy ekipy bezpieczeństwa próbują odkryć wszystkie najnowsze sztuczki i ulepszenia Confickera, wiedzą, że Conficker nie śpi, a autorzy robaka zaczynają używać zainfekowanych Confickerów do zarabiania pieniędzy. To, jak daleko się posunie to, jest obecnie nieznane.

Dokąd zmierzamy?

Kiedy badacze bezpieczeństwa zaczynają odkrywać tajemnice otaczające najnowszą wersję Confickera, możesz zabezpieczyć się przed robakiem, najpierw testując Twój system do infekcji, a następnie upewniając się, że masz najnowsze poprawki Microsoft Security i że twój program antywirusowy jest aktualny. Grupa robocza Confickera ma prosty test, aby sprawdzić, czy jesteś zainfekowany przez Confickera.