Robak Conficker Dostaje Złego Bliźniaka

Przestępcy stojącego za rozprzestrzeniającym się robakiem Conficker wydali nową wersję złośliwego oprogramowania, która może sygnalizować poważną zmianę w sposobie działania robaka.

Nowy wariant, nazwany Conficker B ++, został zauważony trzy dni temu przez badaczy SRI International, którzy opublikowali szczegóły nowego kodu Czwartek. Dla niewprawnego oka nowy wariant wygląda prawie identycznie jak poprzednia wersja gry Conficker B. Ale wariant B ++ wykorzystuje nowe techniki pobierania oprogramowania, dając twórcom większą elastyczność w zakresie tego, co mogą zrobić z zainfekowanymi maszynami.

Maszyny zainfekowane konfiltrem mogą być używane do nieprzyjemnych rzeczy - wysyłania spamu, rejestrowania naciśnięć klawiszy lub uruchamiania ataków DoS (Denial of Service), ale grupa ad hoc, która nazywa się Conficker Cabal, w dużej mierze temu zapobiegła. Utrzymują Confickera pod kontrolą, łamiąc algorytm używany przez oprogramowanie do znalezienia jednego z tysięcy punktów spotkań w Internecie, w którym może on szukać nowego kodu. Te punkty spotkań używają unikalnych nazw domen, takich jak pwulrrog.org, że Conficker Cabal ciężko pracował, aby zarejestrować się i trzymać z dala od przestępców.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Nowy wariant B ++ używa tego samego algorytmu do wyszukiwania punktów rendezvous, ale daje też twórcom dwie nowe techniki, które pomijają je w całości. Oznacza to, że najbardziej skuteczną technikę Cabala można ominąć.

Conficker przeszedł poważną zmianę w grudniu, kiedy wariant B został zwolniony. Jednak najnowsza wersja B + + zawiera bardziej subtelne zmiany, według Phila Porrasa, dyrektora programowego z SRI. "To jest bardziej chirurgiczny zestaw zmian, które poczynili", powiedział.

Ujmując rzeczy w perspektywie: W Conficker B było 297 podprogramów; W B ++ dodano 39 nowych procedur i zmodyfikowano trzy istniejące podprogramy, napisał SRI w raporcie o nowym wariancie. B ++ sugeruje, że "autorzy szkodliwego oprogramowania mogą poszukiwać nowych sposobów na całkowite wyeliminowanie potrzeby punktów spotkań w Internecie" - stwierdza raport.

Porras nie mógł powiedzieć, jak długo Conficker B ++ był w obiegu, ale po raz pierwszy pojawił się 6 lutego., według badacza używającego pseudonimu Jart Armin, który pracuje na stronie internetowej Hostexploit.com, która śledziła Confickera.

Chociaż nie wie, czy B ++ zostało stworzone w odpowiedzi na pracę Cabal, "czyni to botnet jest bardziej odporny i łagodzi niektóre z prac Cabal - powiedział Rick Wesson, dyrektor generalny Support Intelligence w wywiadzie e-mail.

Znany również jako Downadup, Conficker rozprzestrzenia się za pomocą różnych technik. Wykorzystuje niebezpieczny błąd systemu Windows do atakowania komputerów w sieci lokalnej, a także może rozprzestrzeniać się za pośrednictwem urządzeń USB, takich jak kamery lub urządzenia pamięci masowej. Wszystkie warianty Confickera zainfekowały obecnie około 10,5 miliona komputerów, zgodnie z SRI.