Numărătoarea inversă Conficker

Paul Ferguson, de la Trend Micro, a anunţat că, deocamdată, nu s-a întamplat nimic ieşit din comun. „Până acum, nu s-a înregistrat nicio activitate semnificativă”, a spus el, adăugând că un cercetător Trend Micro din Filipine a raportat acelaşi nivel de trafic, miercuri, ca şi în zilele anterioare, în zona Asia-Pacific.

Viermele Conficker a creat ceva agitaţie pe unele computere infectate din Asia, unde ziua de 1 aprilie a început cel mai devreme, dar până acum, activitatea nu este de natură să creeze îngrijorare.

„Am înregistrat activitate în cazul computerelor programate să urmărească şi să detecteze activităţile ilegale, în Asia... Viermele generează lista de 50.000 de domenii potenţiale pentru contact”, a spus Paul Ferguson,.

Ultima versiune a viermelui, Conficker.C, avea stabilită ca dată de activare 1 aprilie, ceea ce se va resimţi, pentru unele computere infectate, în funcţie de ora locală, iar pentru altele conform timpului universal - GMT, depinzând de faptul dacă respectivele computere sunt pornite şi conectate la internet, a precizat el.

Procesul pare să demareze destul de încet, computerele infectate începând să genereze lista de domenii, pentru ca apoi să aleagă un domeniu şi să încerce să intre în contact cu el, urmând să aştepte înainte de a continua cu 500 dintre cele 50.000 de domenii, potrivit lui Ferguson.

Proprietarii computerelor infectate nu vor observa, cel mai probabil, nimic, decât că nu pot accesa site-urile furnizorilor de soluţii de securitate, lucru care este o dovadă că sunt infectaţi, a precizat el. Trend Micro a găsit o modalitate de a debloca un computer de pe site-urile pe care viermele le-a blocat, folosind serviciul de reţea Microsoft, a spus el. Mai multe detalii pot fi găsite pe site-ul Trend Micro.

„Urmărim actualizările la fiecare jumătate de oră. Presupunem că acestea se vor conecta la un site şi va descărca un cod. Nu se ştie ce ar urma să facă acest cod.”, a spus Dave Marcus, Director of Security Research pentru McAfee Avert Labs.

Grupul X-Force, de la IBM ISS, a anunţat că lucrurile par destul de liniştite, cel puţin pentru moment, în Asia, unde sunt înregistrate cele mai multe infecţii. Aproape 45% dintre computerele infectate sunt situate în Asia, pe locul al doilea fiind Europa, cu aproximativ 30 de procente, 13,6% în America de Sud şi 5,8 procente în America de Nord, potrivit blog-ului Frequency X.

IBM ISS a mai anunţat că a descoperit o modalitate pentru ca furnizorii de servicii de internet să detecteze staţiile infectate dintr-o reţea, prin monitorizarea comunicaţiilor peer-to-peer pe care le realizează viermele între computerele infectate.

Experţii spun că viermele ar putea fi folosit pentru furtul de parole sau alte date importante de pe computerele infectate, sau să le introducă într-o reţea botnet care trimite spam.

Viermele exploatează o vulnerabilitate din Windows, pentru care Microsoft a oferit o soluţie în octombrie, şi se răspândeşte prin partajările slab protejate în reţea şi prin intermediul dispozitivelor mobile de stocare, precum stick-urile USB.

Conficker.C dezactivează şi serviciile de securitate, blochează conexiunea computerelor la site-urile de securitate şi descarcă un Troian. Viermele ajunge la alte computere infectate prin reţele de tip peer-to-peer, pe lângă faptul că este programat să contacteze 500 de domenii pentru a primi copii ale actualizărilor sau alt tip de malware, faţă de doar 250 de domenii, aşa cum făceau versiunile anterioare.


Sursa: CNET