A Conficker féreg új variánsa már védi magát

Anti-antivírus

A Conficker, más néven Downadup új változata nem a fertőzési képességet fokozza, hanem a meglévő fertőzéseket igyekszik konzerválni, vagyis a bűnözők figyelme a kiépített hatalmas zombihálózat védelme és hasznosítása felé fordult. A Symantec elemzése alapján az új variáns már ellenségesen lép fel a vírusirtókkal és más biztonsági szoftverekkel szemben, megpróbálja detektálni és leállítani az utána kutakodó folyamatokat.

Egy másik változtatás a féreg kommunikációs képességét védi. A Conficker egy algoritmussal generálja, hogy adott napon milyen domaineken próbálkozzon kapcsolatot felvenni a vezérlőszerverrel, melyen keresztül akár új kódot is letölthet és frissítheti magát, vagy utasításokat kaphat. A biztonsági cégek már korábban visszafejtették ezt az algoritmust, és be nem regisztrált domaineket tiltólistára tetettek az ICANN és az OpenDNS gyökérszervereinél, valamint a globális támadást lehetővé tévő biztonsági résért felelős Microsoft vezetésével a Conficker Cabal projekt megkezdte a jövőben sorra kerülő domainek előregisztrálását és zárolását.

Erre reakcióként a támadók most két nagyságrenddel megnövelték az adott napon lehetséges domainvariációk számát, 250-ről 50 ezerre. Ez azt jelenti, hogy az iparág eddigi erőfeszítései, melyek a domainek blokkolását és beregisztrálását tűzte ki, lehetetlenné válik, ráadásul a valódi weboldalak egy része komoly elosztott szolgáltatásmegtagadásos támadásban részesülhet az egyszerre beérkező kérések hatalmas tömege miatt. A Sophos biztonságtechnikai cég azt javasolja, hogy ha időben értesül egy cég domainjének érintettségéről, akkor hozzon létre egy alternatív domaint is, és aznapra függessze fel az eredeti feloldását. Egy másik lehetőség a HTTP-lekérések előszűrése, melyek a \"/search?q=\" sztringet tartalmazzák -- ehhez is nagyteljesítményű szűrőre lehet szüskég.

A Confickerrel fertőzött gépek tömege a Symantec szerint nem növekszik jelentősen, ez is magyarázhatja, hogy a bűnözők a hálózat fenntartását helyezték előtérbe. Egyelőre nem világos azonban, mi célt is szolgál ez a botnet, a kézenfekvő lehetőségek közt van a spamküldés, az adathalászat, elosztott támadások indítása, és ezek kombinácója. A féreg mindenesetre nem kapott egyelőre ilyen irányú utasítást.

Az eredet

A kitörés, melyhez foghatóra évek óta nem volt példa, a Micorosoft Windows operációs rendszerekben, pontosabban a hálózaton keresztül is megszólítható Windows Services folyamatban található túlcsordulásos sebezhetőséget használta ki. Bár Redmond tavaly október 23-án rendkívüli javítást tett közzé (MS08-67), jóval a féreg elterjedése előtt, a hanyag felhasználók miatt PC-k milliói maradtak foltozatlanul még hónapokkal később is. A Conficker ráadásul USB-háttértáron is másolódik, így a friss vírusirtó szoftver mellett érdemes kikapcsolni az Autorun funkciót is, melyhez szintén kiadott egy rendkívüli frissítést a Microsoft.

A tavalyi évvége még csendesen telt, a felbukkant támadó kódokat alacsony kockázatúként értékelte a szakma. Januárban azonban robbanásszerűen kezdett el terjedni a Conficker, az F-Secure szerint a hónap második felére 1 millió egyedi IP-címről jelentkezett fertőzött gép, a legutolsó, február végi becslés már 2,1-2,5 millió közé tette ezt a számot. Ez IP-címen akár több tucat gép is lóghat, így a fertőzött gépek számát 20 millióra lehet tenni. Magyarországon a fertőzés valószínűleg néhány tízezer gépet érint.

A kitörés nagysága miatt a Microsoft néhány hete úgy döntött, 250 ezer dollárt tűz ki a felelősök fejére. A vállalat egyik hasonló akciója sikerrel járt ugyan, a Sasser féreg írójának beazonosításáért felajánlott összeget ki is fizették a redmondiak, három másik (Blaster, MyDoom, Sobig) esetben azonban sosem csípték nyakon az elkövetőt. A Sasser íróját 2005-ben ráadásul mindössze egy év kilenc hónap felfüggesztett börtönre ítélték, amit a szakma elfogadhatatlanul erőtlennek tartott. Sven Jaschan börtön helyett végül állást kapott egy biztonsági cégtől.