Conficker Group Says Worm 4,6 Million Strong

Expertii in securitate spun ca viermele Conficker a infectat o mulțime de calculatoare, făcându-l cel mai mare "botnet" de computere hackate de pe planetă. Lucrul pe care nu pot părea de acord, totuși, este exact cât de mulți oameni au fost loviți.

Grupul de cercetători care a urmărit cel mai mult - și luptă - viermele și-a lansat propria estimare a Dimensiunea lui Conficker. Potrivit datelor compilate de Grupul de lucru Conficker, Conficker a fost reperat pe mai puțin de 4,6 milioane de adrese IP unice. Variantele anterioare ale lui A și B reprezintă partea cea mai importantă a acestora - 3,4 milioane de adrese IP - cu cea mai recentă variantă C observată la 1,2 milioane de adrese.

Țările care măsoară cel mai mare număr de infecții pentru toate variantele sunt China, Brazilia și Rusia

Conficker a infectat mașinile Windows încă din octombrie, însă în ultimele săptămâni le-a fost acordată o mare atenție ca o versiune mai nouă a viermele, Conficker.C, a actualizat modul în care arată instrucțiunile, făcându-l mult mai greu să se oprească.

În ultimul sfârșit de săptămână, Conficker a infectat aproape 800 de PC-uri la Universitatea din Utah's Health Sciences Center. Personalul IT acolo crede că ar fi putut ajunge pe rețea printr-un drive infectat. Odată instalat pe un PC, Conficker este foarte eficient în căutarea altor mașini Windows fără a se răspândi.

Utilizatorii care se întreabă dacă sunt infectați de vierme pot încerca acest test simplu dezvoltat de SecureWorks. săptămâni în urmă de OpenDNS și grupul IBM Security Systems Systems au sugerat că până la 4% dintre PC-uri ar putea fi lovite de viermele Conficker, însă analiza Grupului de Lucru sugerează că numărul este probabil mult mai mic

"Sperăm că publicarea acestor numere va arunca un pic de realitate în ecuație ", a declarat Andre DiMino, cofondator al Fundației Shadowserver și membru al Grupului de lucru. El nu crede că 4% din PC-uri au fost infectate. "Este greu sa faci un caz pentru asta chiar acum", a spus el.

Dar numarul efectiv de infectii ar putea fi mai mare sau mai mic de 4,6 milioane, a recunoscut DiMino. Deoarece metoda Grupului de lucru numără adrese IP, este posibil ca aceștia să fi consumat prea mult consumatorii care se conectează la mai multe adrese IP sau să nu înregistreze infecții corporative, care sunt adesea ascunse în spatele unei singure adrese IP

OpenDNS, IBM și Grupul de lucru au folosit tehnici diferite pentru a ajunge la estimările lor, însă toate se bazează pe faptul că mașinile infectate trebuie să se conecteze cu un server de "comandă și control" pentru instrucțiuni. Grupul de lucru a obținut datele sale prin crearea de servere "sinkhole" în punctele de pe Internet utilizate de mașinile infectate pentru a descărca instrucțiuni. Ei au făcut acest lucru prin preluarea domeniilor de Internet pe care Conficker este programat să le viziteze pentru a căuta aceste instrucțiuni.

Numărul de infecții măsurat de grupul de lucru este în concordanță cu estimările sale privind variantele anterioare ale viermelui, a spus DiMino. "Nu toate cele As și Bs au fost transformate în Cs", a spus el.

Pentru a complica lucrurile în continuare, o nouă variantă a lui Conficker a fost văzută săptămâna trecută și aceasta comunică în primul rând folosind tehnici de tip peer-to-peer nu sunt ușor de măsurat de serverele de grupuri de lucru. Acest lucru inseamna ca grupul va trebui probabil sa dezvolte un nou mod de a numara infectiile, pe masura ce varianta peer-to-peer se raspandeste, a spus DiMino.

Chiar daca datele Grupului de Lucru sunt la prima vedere destul de diferite de cele ale IBM nu sunt o surpriză, potrivit lui Holly Stewart, manager de răspuns la amenințări cu IBM Security Systems (ISS). Este "foarte greu" să obțineți o soluție la dimensiunea botnetului, a spus ea. "Nu cred că cineva are un răspuns perfect", a spus ea. "Ei au un punct de date și avem un alt punct de date."

"Dacă mă întrebați ce este adevăratul număr", a adăugat ea, "nu știm."