Conficker, amenințarea nr. 1 la Internet, primește o actualizare

Cercetătorii de securitate spun că un vierme care a infectat milioane de computere la nivel mondial a fost reprogramat să-și întărească apărarea încercând să atace și mai multe mașini. o vulnerabilitate în software-ul Microsoft, a infectat cel puțin 3 milioane de PC-uri și, eventual, 12 milioane, devenind un botnet imens și unul dintre cele mai grave probleme de securitate a calculatoarelor din ultimii ani.

Botnets pot fi folosite pentru a trimite spam și atacă alte site-uri web, dar trebuie să poată primi instrucțiuni noi. Conficker poate face acest lucru în două moduri: poate încerca fie să viziteze un site web și să ridice instrucțiuni, fie să primească un fișier prin rețeaua P-to-P (Peer-to-Peer) criptată.

În ultima zi, cercetătorii de la Websense și Trend Micro au spus că unele PC-uri infectate cu Conficker au primit un fișier binar de pe P-to-P. Controlorii Conficker au fost împiedicați de eforturile comunității de securitate pentru a obține direcții prin intermediul unui site web, astfel încât acestea utilizează acum funcția P-to-P, a declarat Rik Ferguson, consultant senior de securitate pentru distribuitorul Trend Micro. binare spune Conficker să înceapă scanarea pentru alte computere care nu au patch-uri vulnerabilitatea Microsoft, a spus Ferguson. O actualizare anterioară a transformat această capacitate, ceea ce a sugerat că controlorii Conficker ar fi crezut că botnet-ul a devenit prea mare.

Dar acum, "cu siguranță indică faptul că [autorii lui Conficker] încearcă să controleze mai multe mașini", a spus Ferguson. > Noua actualizare îi spune, de asemenea, Conficker să contacteze MySpace.com, MSN.com, Ebay.com, CNN.com și AOL.com, aparent pentru a confirma că mașina infectată este conectată la Internet, a spus Ferguson. De asemenea, blochează PC-urile infectate de la vizitarea unor site-uri web. Versiunile anterioare ale Conficker nu ar permite oamenilor să navigheze pe site-urile web ale companiilor de securitate.

Într-un alt răsucire, binarul pare să fie programat să nu mai funcționeze pe 3 mai, ceea ce va închide noile funcții. > Nu este prima dată când Conficker a fost codificat cu instrucțiuni bazate pe timp. Experții în domeniul securității informațiilor se luptau pentru catastrofă pe 1 aprilie, când Conficker urma să încerce să viziteze 500 din aproximativ 50 000 de site-uri aleatorii generate de un algoritm intern pentru a obține noi instrucțiuni, dar ziua a trecut fără incidente. este că noua actualizare îi spune lui Conficker să contacteze un domeniu despre care se știe că este afiliat cu un alt botnet numit Waledec, a spus Ferguson. Botnetul Waledec a crescut într-o manieră similară cu viermele Storm, un alt botnet mare care a dispărut, dar a fost folosit pentru a trimite spam. Aceasta înseamnă că poate același grup ar putea fi legat de cele trei botnete, a spus Ferguson.

Chiar dacă Conficker nu pare să fi fost folosit încă în scopuri periculoase, rămâne o amenințare, a spus Carl Leonard, manager pentru Websense în Europa. Funcționalitatea P-to-P indică un nivel de sofisticare, a spus el.

Este evident că au depus multe eforturi în colectarea acestui set de mașini, a spus Leonard. "Ei vor să-și protejeze mediul și să lanseze aceste actualizări într-un mod care să le poată valorifica cel mai bine."

Nu toate calculatoarele infectate cu Conficker vor fi actualizate neapărat rapid. Pentru a utiliza funcționalitatea de actualizare P-to-P, un PC infectat cu Conficker trebuie să caute alte PC-uri infectate, un proces care nu este imediat, Ferguson.

Având în vedere că experții în securitate diferă foarte mult de numărul de computere care pot fi infectate Conficker, este greu de spus ce procentaj au noua actualizare.

Trend Micro și Websense au atras atenția că constatările lor sunt preliminare, deoarece actualizarea binară este încă analizată.

Deși Microsoft a lansat un pachet software de urgență în octombrie anul trecut, Conficker a continuat să profite de acele PC-uri care nu au fost patch-uri. De fapt, unele variante ale Conficker vor patch-uri vulnerabilitatea după ce mașina este infectată, astfel încât nici un alt program malware să nu poată beneficia de el.