Walka z Confickerem

Robak internetowy Conficker zaraził już ponad 10 mln komputerów z Windows. Dopiero niedawno udało się jednak odkryć sposób zdalnego wykrywania infekcji tym wirusem.

Pierwsze infekcje tym robakiem zanotowano w październiku 2007 r., przy czym złośliwy kod roznosił się poprzez eksploitowanie już naprawionej luki w bezpieczeństwie usług sieciowych Windows. Po zaatakowaniu maszyny, natychmiast rozprzestrzeniał się w sieci lokalnej. Pomimo udostępnienia poprawki (MS08-067), nadal wiele komputerów pozostaje niezaktualizowanych, a przez to podatnych na ataki.

Robak łamiący hasła

Specjaliści są zdania, że jest to jeden z najbardziej skomplikowanych robaków, wykorzystuje bowiem różne wektory infekcji i... potrafi łamać hasła. Conficker może być bardzo szybkim infektorem. Według niektórych oszacowań, udało mu się zarazić ponad 10 mln komputerów w ciągu zaledwie kilku miesięcy.

Głównym zadaniem robaka jest zbieranie danych osobistych, instalacja innego złośliwego oprogramowania oraz utrzymywanie sieci zarządzanej przy pomocy skomplikowanych, decentralizowanych struktur. Sieć zarządzania wykorzystuje ponad kilkaset adresów IP, można się spodziewać, że rozrośnie się ona do kilkudziesięciu tysięcy. W tej sieci wprowadzono mechanizmy automatycznej aktualizacji, zatem poznanie szczegółów pracy złośliwego kodu może usprawnić walkę z tym wirusem.

Badania kodu udowodniły, że 1 kwietnia br. robak ten miał zmienić strategię działania, ale nic takiego nie miało miejsca. Prawdopodobną przyczyną była chęć utrzymania sieci Confickera przez jego twórców. Atak polegający na zmianie kodu i właściwości wirusa może jednak nastąpić później.

Sposób na robaka

Dotychczas wykrywanie zarażonych maszyn odbywało się za pomocą narzędzi skanujących system operacyjny od środka, przy czym niektóre cechy tego wirusa umożliwiały prostą diagnozę. Takimi cechami było wyłączanie niektórych usług, a także blokowanie dostępu do stron Microsoftu czy McAfee. Drugim ze sposobów wykrycia był monitoring połączeń wychodzących z komputerów, co napotykało na poważne problemy organizacyjne przy skali sieci w dużych przedsiębiorstwach. Ponadto do niedawna najnowsza wersja (Conficker C) mocno ograniczała połączenia wychodzące, aby ujawnić się dopiero po 1 kwietnia. Nadal brakowało narzędzia, które skanując maszynę przez sieć, mogłoby wychwycić fakt zarażenia tym wirusem, działało w sposób prosty i niezawodny.