Conficker Group mówi, że robak ma 4.6 miliona

Eksperci ds. Bezpieczeństwa twierdzą, że robak Conficker został zainfekowany strasznie dużo komputerów, co czyni go największym "botnetem" zhackowanych komputerów na świecie. Rzeczą, na którą nie mogą się zgodzić, jest dokładnie to, ile osób zostało trafionych.

Grupa naukowców, która najdokładniej śledziła - i walczyła - robak opublikowała własne oszacowanie Rozmiar Confickera. Według danych zebranych przez Conficker Working Group, Conficker został zauważony na prawie 4,6 miliona unikalnych adresów IP. Jego wcześniejsze warianty A i B stanowią lwią część tego - 3,4 miliona adresów IP - a najnowszy wariant C znajduje się na 1,2 miliona adresów.

Kraje, które mierzą największą liczbę infekcji dla wszystkich wariantów, są Chiny, Brazylia i Rosja.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Conficker infekował maszyny Windows od października, ale w ostatnich tygodniach zyskał dużą uwagę jako nowsza wersja robak, Conficker.C, zaktualizował sposób, w jaki szuka instrukcji, co znacznie utrudnia zatrzymanie.

W zeszły weekend Conficker zainfekował prawie 800 komputerów w Centrum Nauk o Zdrowiu Uniwersytetu Utah. Pracownicy IT sądzą, że mógł dostać się do sieci przez zainfekowany dysk USB. Po zainstalowaniu na jednym komputerze, Conficker jest bardzo skuteczny w wyszukiwaniu innych nieosiągalnych maszyn Windows do rozprzestrzeniania się.

Użytkownicy, którzy zastanawiają się, czy są zainfekowani przez robaka, mogą wypróbować ten prosty test opracowany przez SecureWorks.

Badania wykonane dwa Kilka tygodni temu, przez OpenDNS i grupę IBM Internet Security Systems, zasugerowano, że aż 4% komputerów mogło zostać zainfekowanych robakiem Conficker, ale analiza przeprowadzona przez grupę roboczą sugeruje, że liczba ta jest prawdopodobnie znacznie niższa.

"Mamy nadzieję, że że opublikowanie tych numerów rzuci trochę rzeczywistości na równanie "- powiedział Andre DiMino, współzałożyciel The Shadowserver Foundation i członek grupy roboczej. Nie wierzy, że 4 procent komputerów zostało zainfekowanych. "Trudno teraz o to mówić", powiedział.

Ale faktyczna liczba infekcji może być większa lub niższa niż 4,6 miliona, przyznał DiMino. Ponieważ metoda Grupy Roboczej zlicza adresy IP, mogły one przeliczyć użytkowników, którzy logowali się z wielu adresów IP lub nieliczonych infekcji korporacyjnych, które często są ukryte pod jednym adresem IP.

OpenDNS, IBM i grupa robocza wszystkie do oszacowania wykorzystali różne techniki, ale wszyscy polegają na tym, że zainfekowane maszyny muszą odprawić się z serwerem "polecenia i kontroli", aby uzyskać instrukcje. Grupa robocza uzyskała dane, konfigurując serwety "sinkhole" w punktach w Internecie używanych przez zainfekowane komputery do pobierania instrukcji. Zrobili to, przejmując domeny internetowe, do których Confick został zaprogramowany w celu wyszukiwania tych instrukcji.

Liczba zakażeń mierzona przez grupę roboczą jest zgodna z szacunkami wcześniejszych wariantów robaka, powiedział DiMino. "Nie wszystkie A i B zostały przekształcone w Cs" - powiedział.

Aby jeszcze bardziej skomplikować sprawę, w zeszłym tygodniu wykryto nowy wariant Confickera, a ten komunikował się głównie za pomocą technik peer-to-peer, które nie są łatwo mierzone przez serwery wgłębienia Grupy Roboczej. Oznacza to, że grupa prawdopodobnie będzie musiała opracować nowy sposób liczenia infekcji w miarę rozprzestrzeniania się wersji peer-to-peer, powiedział DiMino.

Mimo że dane grupy roboczej na pierwszy rzut oka różnią się od danych IBM, to wyniki nie są zaskoczeniem, według Holly Stewart, menedżera reagowania na zagrożenia z IBM Internet Security Systems (ISS). "Naprawdę trudno" uzyskać poprawkę na wielkość botnetu, powiedziała. "Nie sądzę, by ktokolwiek miał idealną odpowiedź" - powiedziała. "Mają jeden punkt danych i mamy inny punkt danych."

"Jeśli zapytasz mnie, jaka jest prawdziwa liczba" - dodała - "nie wiemy".