Trend Micro: uwaga na robaka Conficker w kolejnej odsłonie!
Conficker, najgroźniejszy robak 2009 roku, powraca. Obserwatorzy branży zastanawiają się, co się stanie, gdy jego najnowsza odmiana zacznie kontaktować się ze swoimi mocodawcami.vRobak Downad/Conficker pojawił się w listopadzie 2008 r. Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach (MS08-67), która została usunięta przez Microsoft jeszcze w październiku 2008 r.
Robak unikał infekowania systemów, które były skonfigurowane z
ukraińskim układem klawiatury lub miały adresy IP zarejestrowane na
Ukrainie (co może wskazywać na jego pochodzenie). Po zainfekowaniu
komputera, robak najpierw generował losowo adresy IP i wykorzystywał je
do wyszukiwania kolejnych ofiar, a następnie próbował jednorazowo
pobrać fałszywy program antywirusowy (scareware). Od tej chwili
generował codziennie listę 250 pseudolosowych nazw domen, wykorzystując
rozszerzenia z najwyższego poziomu (.com, .net, .org, .info, i .biz) i
próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe
treści.
W styczniu 2009 r. pojawiła się druga odmiana robaka Downad/Conficker,
która była w znacznym stopniu podobna do pierwszego, jednakże robak nie
omijał już systemów ukraińskich i nie próbował pobierać programu
scareware. Ponadto wykorzystywał kilka dodatkowych mechanizmów
rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki
Microsoftu, rozprzestrzeniał się także zapisując się na wszystkich
podłączonych do zainfekowanego systemu dyskach wymiennych i
współużytkowanych dyskach sieciowych, a ponadto wyszukiwał w tej samej
sieci komputery, na które przypuszczał atak siłowy za pomocą listy 250
najczęściej używanych haseł. Drugi wariat próbował także wyłączać wiele
znanych programów antywirusowych i blokować dostęp do serwisów
internetowych związanych z bezpieczeństwem oraz wyłączał usługi
zabezpieczające o kluczowym znaczeniu, takie jak Windows Automatic
Update. Te dodatkowe sposoby rozprzestrzeniania się umożliwiły robakowi
zainfekowanie dużej liczby komputerów.
Drugi wariant również generuje codziennie listę 250 nazw domen, z
którymi próbuje się łączyć, ale wykorzystuje więcej rozszerzeń z
najwyższego poziomu (oprócz .com, .net, .org, .info, i .biz dodatkowo
.ws, .wn i .cc). Nazwy generowane przez te dwie wersje nie pokrywają
się.
W marcu 2009 r. pojawił się trzeci groźny wariant robaka
Downad/Conficker. Wygląda na to, że nowa wersja rozprzestrzenia się
przez aktualizację komputerów zainfekowanych wcześniej drugim
wariantem. Nowa odmiana generuje codziennie listę 50 000 nazw domen
internetowych (poprzednio było ich 250) oraz używa 110 różnych typów
domen (poprzednio było ich 5 lub 8). Tylko 500 z wygenerowanych domen
jest „wywoływanych” i tylko raz dziennie. Duża liczba nadmiarowych nazw
domen ma na celu zablokowanie mechanizmów używanych dotychczas do
zwalczania robaka.
To właśnie ten mechanizm ma się uruchomić 1 kwietnia.
Oprócz tej infrastruktury poleceń i kontroli, opartej na języku HTTP,
nowy wariant wprowadził także możliwość komunikacji równorzędnej (Peer
to Peer) między zainfekowanymi systemami. Prawdopodobnie jest to
odpowiedź na próby zamknięcia mechanizmu połączeń HTTP, podejmowane
przez internetową branżę zabezpieczeń.
W trzecim wariancie zrezygnowano z metod rozpowszechniania się
stosowanych w wariantach pierwszym i drugim, zastępując je bardziej
defensywnymi sposobami infekcji. Być może cyberprzestępcy uznali, że
zainfekowali już wystarczającą liczbę komputerów, które zamierzają
przekształcić w jeden prosty botnet, służący do dystrybucji szkodliwego
kodu według swego uznania. Trzeba jednak brać pod uwagę, że funkcje
propagacji mogą być bardzo łatwo ponownie włączone.
