Conficker, zagrożenie nr 1 w Internecie, otrzymuje aktualizację

Badacze bezpieczeństwa twierdzą, że robak, który zainfekował miliony komputerów na całym świecie, został przeprogramowany w celu wzmocnienia swojej obrony, a jednocześnie próbuje zaatakować więcej maszyn.

Conficker, który wykorzystuje lukę w oprogramowaniu Microsoftu, zainfekowała co najmniej 3 miliony komputerów, a być może nawet 12 milionów, czyniąc z niej gigantyczny botnet i jeden z najpoważniejszych problemów bezpieczeństwa komputerowego w ostatnich latach.

Do wysyłania spamu można używać botnetów i atakować inne witryny sieci Web, ale muszą mieć możliwość otrzymywania nowych instrukcji. Conficker może zrobić to na dwa sposoby: może albo spróbować odwiedzić witrynę sieci Web i odebrać instrukcje, albo może odebrać plik przez swoją niestandardową, zaszyfrowaną sieć P-to-P (Peer-to-Peer).

[Więcej informacji: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

W ciągu ostatnich dni naukowcy z Websense i Trend Micro powiedzieli, że niektóre komputery zainfekowane Confickerem otrzymały plik binarny ponad P-to-P. Kontrolery Confickera zostały powstrzymane przez wysiłki społeczności bezpieczeństwa, aby uzyskać wskazówki za pośrednictwem strony internetowej, więc teraz korzystają z funkcji P-to-P, powiedział Rik Ferguson, starszy doradca ds. Bezpieczeństwa w firmie Trend Micro.

Nowy binary każe Confickerowi rozpocząć skanowanie na inne komputery, które nie załatały luki Microsoftu, powiedział Ferguson. Poprzednia aktualizacja wyeliminowała tę możliwość, co sugerowało, że kontrolery Confickera mogą pomyśleć, że botnet stał się zbyt duży.

Ale teraz, "to z pewnością oznacza, że ​​[autorzy Confickera] chcą kontrolować więcej maszyn," powiedział Ferguson.

Nowa aktualizacja informuje także Conficker, aby skontaktował się z MySpace.com, MSN.com, Ebay.com, CNN.com i AOL.com, aby potwierdzić, że zainfekowana maszyna jest podłączona do Internetu, powiedział Ferguson. Blokuje również zainfekowane komputery PC przed odwiedzeniem niektórych witryn sieci Web. Poprzednie wersje Confickera nie pozwalały ludziom przeglądać stron internetowych firm ochroniarskich.

W innym wydaniu binarny wydaje się być zaprogramowany tak, aby przestał działać 3 maja, co spowoduje wyłączenie nowych funkcji, powiedział.

Nie po raz pierwszy Conficker został zakodowany za pomocą instrukcji czasowych. Eksperci ds. Bezpieczeństwa komputerowego przygotowywali się do katastrofy 1 kwietnia, kiedy to Conficker miał zaplanować wizytę w 500 z około 50 000 losowych stron internetowych wygenerowanych przez wewnętrzny algorytm, aby uzyskać nowe instrukcje, ale dzień minął bez incydentów.

Także niepokojące jest to, że nowa aktualizacja mówi Confickerowi o skontaktowaniu się z domeną, która jest powiązana z innym botnetem o nazwie Waledec, powiedział Ferguson. Botnet Waledec urósł w sposób podobny do robaka Storm, kolejnego dużego botnetu, który teraz wyblakł, ale był używany do wysyłania spamu. Oznacza to, że być może ta sama grupa mogłaby zostać powiązana ze wszystkimi trzema botnetami, powiedział Ferguson.

Mimo że Conficker nie został jeszcze wykorzystany do złośliwych celów, nadal stanowi zagrożenie, powiedział Carl Leonard, badanie zagrożenia manager dla Websense w Europie. Funkcja P-to-P wskazuje poziom zaawansowania, powiedział.

"Jest oczywiste, że włożyli wiele wysiłku w zbieranie tego zestawu maszyn," powiedział Leonard. "Chcą chronić swoje środowisko i uruchamiać te aktualizacje w sposób, w jaki mogą najlepiej z nich korzystać."

Nie wszystkie komputery zainfekowane Confickerem będą musiały zostać szybko zaktualizowane. Aby korzystać z funkcji aktualizacji P-to-P, zainfekowany Conficker PC musi szukać innych zainfekowanych komputerów, proces, który nie jest natychmiastowy, Ferguson.

Biorąc pod uwagę, że eksperci od bezpieczeństwa różnią się znacznie od tego, ile komputerów może być zainfekowanych Conficker, trudno powiedzieć, jaki procent ma nową aktualizację.

Trend Micro i Websense ostrzegają, że ich odkrycia są wstępne, ponieważ aktualizacja binarna jest nadal analizowana.

Chociaż Microsoft wydał w październiku aktualizację oprogramowania awaryjnego, Conficker nadal korzysta z tych komputerów, które nie zostały załatane. W rzeczywistości niektóre warianty Confickera będą łatać lukę po zainfekowaniu komputera, więc żadne inne szkodliwe oprogramowanie nie może z tego skorzystać.