Walka z Confickerem

Przełom nastąpił po pięciu miesiącach intensywnych prac i doprowadził do odkrycia, że złośliwy kod pozostawia szczególny odcisk palca na zainfekowanych maszynach, umożliwiając łatwe wykrycie infekcji przez typowe skanery podatności, dostępne na rynku. Po raz pierwszy od początku infekcji, administratorzy dostali gotowe narzędzie do identyfikacji zarażonych maszyn przy pomocy skanerów, takich jak Nmap (dostępny w modelu open source), McAfee Foundstone Enterprise czy Nessus. Narzędzia te zostały udostępnione jeszcze przed podejrzewanym terminem ataku wirusa. Dodatkowe można znaleźć na stronach Instytutu Nauk Komputerowych na Uniwersytecie w Bonn (iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker), są tam także sygnatury i narzędzia w języku Python przeznaczone do skanowania komputerów i ich dezynfekcji.

"Jest to niesłychanie tania, stosunkowo szybka metoda znajdowania zarażonych maszyn w sieci lokalnej. Tego typu osiągnięcie zdarza się rzadko, większość złośliwego kodu nie jest tak łatwa do wykrycia" - mówi Dan Kaminsky, jeden z trzech badaczy, którzy opracowywali odcisk palca Confickera. Do wykrycia przyczyniły się dane pobrane z sieci komputerów-pułapek (Honeynet Project). Tillmann Werner i Felix Leder z projektu Honeynet oraz Dan Kaminsky stwierdzili, że Conficker zmienia sposób działania jednego ze składników systemu Windows. Zmiana zachowania dotyczy zachowania usług sieciowych jeszcze zanim użytkownik dokona uwierzytelnienia dostępu do udostępnionych zasobów sieciowych z zarażonego komputera. Dzięki temu, że kod ten działa jeszcze przed uwierzytelnieniem, można stosunkowo łatwo zidentyfikować takie maszyny w sieci.

Wyniki pomiarów są zatrważające

Statystyki infekcji są różne, zależą od czasu i sposobu badania. Większość z nich obejmuje także te maszyny, które zostały zarażone Confickerem, a następnie wirusa z nich usunięto. Eksperci początkowo sądzili, że infekcja objęła od 2 mln do 4 mln komputerów na świecie. Kolejne badania zbliżyły się do danych podawanych przez OpenDNS, osiągając liczby 8-9 mln, z maksimum w okolicy 10 mln. Z kolei Holly Steward z należącej do IBM firmy Internet Security Systems prezentuje wyniki badań, z których wynika, że ok. 4% przeskanowanych komputerów jest zarażonych robakiem Conficker. Najnowsze wyniki badań prowadzonych przez różne ośrodki potwierdzają tę liczbę, oscylując w okolicy 9-10 mln komputerów.


TOP 200