Kaspersky, OpenDNS Współpracują ze Slow Conficker Worm

OpenDNS dodała funkcję do swoich usług DNS (Domain Name System), aby zwalczać rozprzestrzeniającego się robaka za pomocą rosyjskiej firmy Kaspersky Lab.

OpenDNS ma własną sieć serwerów DNS, które tłumaczą nazwy domen na IP (Internet Protocol), aby na przykład strony internetowe mogły być wyświetlane w przeglądarce. Firma twierdzi, że jego system jest szybszy niż korzystanie z serwerów DNS obsługiwanych przez dostawców usług internetowych (ISP) i zapewnia lepszą ochronę przed phishingiem, a także inne funkcje, takie jak filtrowanie treści WWW.

OpenDNS używa teraz listy witryn internetowych przez Kaspersky Lab, który robak Conficker wzywa do aktualizacji. Uważa się, że robak ten, znany również jako Kido i Downandup, zainfekował nawet 10 milionów komputerów PC, wykorzystując lukę w usłudze Windows Server Service firmy Microsoft, mimo że Microsoft wydał w październiku aktualizację awaryjną.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z twojego komputera z Windows]

Conficker zawiera algorytm, który generuje dziesiątki nowych nazw domen codziennie. Hakerzy kontrolujący Confickera mogą zarejestrować jedną z tych nazw domen, a następnie umieścić instrukcje lub aktualizacje dla złośliwego oprogramowania na stronie internetowej, aby mógł je pobrać Conficker.

Problem polega na tym, że nikt nie wie, która strona będzie aktywowana w następnej kolejności, albo kiedy. Jednak Kaspersky Anti-Virus złamał algorytm, więc wie, które witryny mogą zostać uruchomione.

Mechanizm jest również używany przez inne kontrolery botnetów. Trudno jest zatrzymać specjalistów ds. Bezpieczeństwa, chociaż jedna z firm ochroniarskich podjęła niedawno trud rejestrowania wszystkich potencjalnych nazw domen w celu blokowania aktualizacji dla innego botnetu.

OpenDNS rozwiązuje ten problem, rejestrując listę potencjalnych domen od Kaspersky, do którego mógł zadzwonić Conficker i nie pozwalając im na rozwiązanie. Oznacza to, że jeśli komputer używający OpenDNS jest zainfekowany przez Conficker, złośliwe oprogramowanie nie powinno się aktualizować. Jednak złośliwe oprogramowanie nadal będzie znajdować się na komputerze.

OpenDNS dodał także do swojej usługi funkcję ochrony botnetu, która ostrzega administratorów, jeśli mają zainfekowaną maszynę.

Conficker okazał się jednym z najbardziej poważne robaki w niedawnej pamięci. Infekcje rozprzestrzeniają się szybko od zeszłego roku. Systemy zostają zainfekowane, gdy haker tworzy złośliwe zdalne wywołanie procedur (RPC) na niezałatanym serwerze, który następnie pozwala na uruchomienie dowolnego kodu na komputerze. Conficker wykorzystuje także inne metody rozprzestrzeniania się, w tym próby kopiowania się na inne udostępnione maszyny sieciowe poprzez zgadywanie haseł

Do tej pory kontrolery Confickera nie zrobiły nic złośliwego z botnetem. Analitycy bezpieczeństwa dokładnie obserwują sytuację z powodu ogromnego rozmiaru botnetu, który mógł wystraszyć swoich kontrolerów, próbując użyć ich do ataków typu "odmowa usługi" lub wysyłając spam.

Usługi OpenDNS są bezpłatne. Firma zarabia dzięki pokazywanie reklam obok wyników wyszukiwania, jeśli ktoś wprowadzi niepoprawną nazwę domeny. Jednak OpenDNS naprawi literówki w nazwach domen, jeśli usługa będzie mogła odgadnąć, którą stronę ktoś zamierza odwiedzić.