Hirdetés
. Hirdetés

Conficker: titokzatos új misszió?

|

Az elmúlt hónapokban nagy port kavart Conficker/Downadup féreg ismét mozgolódni kezdett, és fájlcserélő technikák bevetésével próbálja frissíteni a kódját, illetve tovább terjedni.

Hirdetés

A Conficker tavaly november óta több millió PC-t fertőzött meg elsősorban a Windows egyik sebezhetősége révén. Noha a Microsoft már tavaly októberben elérhetővé tette e biztonsági hiba javítását, a rengeteg, nem megfelelően frissített számítógép a kártékony program terjedését segítette elő. Legutóbb április 1-jére harangozták be egyes biztonsági cégek a Conficker aktivizálódását, amely végül nem okozott fennakadásokat. Azonban úgy tűnik, hogy a féreg terjesztői nem elégedtek meg az eddigi tevékenységükkel, és a kártevőjüket ismét munkára "szólították fel".

A Trend Micro és a Websense szerint a Conficker az elmúlt napokban egy frissítést kapott. Ez azonban nem weboldalakon keresztül kerül rá a fertőzött rendszerekre, hanem P2P (Peer-to-Peer) technikák révén terjed. Ennek elsősorban az az oka, hogy a Conficker ellen küzdő szervezetek több lépést is tettek annak érdekében, hogy megakadályozzák a Conficker weben keresztüli térhódítását. Ugyan ez a féreg által kezelt, 50 ezer domain nevet tartalmazó lista miatt teljes mértékben nem vezetett célra, ennek ellenére a Conficker készítői mégis a P2P technikák mellett tették le a voksukat.

Rik Ferguson, a Trend Micro biztonsági szakértője szerint a Conficker egy olyan bináris állománnyal egészült ki, amely néhány újabb, de még mindig főként terjedési célokat szolgáló művelet végrehajtását teszi lehetővé. A frissítés révén a Conficker - a MySpace.com, az MSN.com, az Ebay.com, a CNN.com és az AOL.com - weboldalak lekérdezésével meggyőződik arról, hogy rendelkezik-e megfelelő internet kapcsolattal, majd újabb, sebezhető PC-ket kezd el keresni. A Trend Micro vizsgálataiból kiderült, hogy a féreg az új funkcióját május 3-án inaktiválni fogja, de a károkozótól megszokott titokzatosság miatt egyelőre nem lehet tudni, hogy ezt miért teszi. Elképzelhető, hogy május elején új feladatokkal bízzák majd meg a terjesztői.

Rik Ferguson egy másik aggasztó tényre is felhívta a figyelmet a Conficker kapcsán. A szakember ugyanis úgy véli, hogy a féreg által eddig kiépített, nagy kiterjedésű botnet összekapcsolódhat egyéb kártékony programokhoz tartozó hálózatokkal. A Conficker legutóbbi variánsa ugyanis olyan domaint is használ, amely eddig a Waledec botnethez volt köthető. Ebből Ferguson arra következtetett, hogy a Conficker mögött álló csoportok botnetek egyesítésén mesterkednek.

Május 3.-ig elvégzi a dolgát?
A Downadup.E - hasonlóan az eddig felbukkant variánsaihoz - elsősorban a Windows kiszolgáló szolgáltatásában rejlő sérülékenységet igyekszik kihasználni. Fontos megjegyezni, hogy ezt a biztonsági hibát a Microsoft az MS08-067-es közleményének keretében már tavaly október 23-án orvosolta, így a javítások telepítésével és megfelelően frissített víruskeresővel a féreg elleni védekezés meglehetősen hatékonyan kivitelezhető.

A Downadup. E féreg fontos jellemzője, hogy a fertőzött rendszereken egy HTTP szervert hoz létre, amelyet egy véletlenszerűen kiválasztott TCP porton keresztül futtat. Eközben további sebezhető PC-k után kutat, és megpróbálja a saját szolgáltatása révén azokra eljuttatni a saját állományait. Vagyis a féreg nem előre meghatározott szerverekről töltögeti le a kódjait, ami az ellene folyó védekezést jelentősen megnehezítheti. Ráadásul a kártevő annak érdekében is mindent megtesz, hogy a különféle hálózati eszközök és tűzfalak se akadályozzák a működését.


Mikko Hypponen előadása a Conficker vírusról. A prezentáció folytatása itt érhető el.

A Downadup.E a saját fájljait május 3-án automatikusan eltávolítja a fertőzött számítógépekről. Azonban ezelőtt gondoskodik arról, hogy a "C" betűjelű variánsát feltelepítse a rendszerekre, amely május 3. után is a PC-ken marad.

A Conficker az első olyan féreg, amely tevékenységét a biztonsági szakemberek félelemmel vegyes kíváncsisággal követik világszerte. A féreg ugyan mindeddig komoly károkat nem okozott, de az újabb és újabb akciói azt teszik feltételezhetővé, hogy a készítőik valamilyen nagyobb terv - jelenleg még nem látható - cél megvalósításán fáradoznak. A Conficker egyértelműen az egyik legnagyobb potenciális fenyegetés, amivel az utóbbi években találkozhattunk, sajnos nem kiszámítható, hogy a már megfertőzött gépek millióit irányító bűnözőknek mi lesz a következő lépése.

A hír a Computerworld.hu biztonság rovatában jelent meg.

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.computertrends.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.