Conficker zaatakuje w prima aprilis
Producenci antywirusów z niepokojem wyczekują uaktywnienia się ostatniej mutacji robaka Conficker, która 1 kwietnia ma połączyć się z siecią i pobrać z niej instrukcje dalszego działania. Milionom użytkowników może grozić odcięcie od internetu - alarmują specjaliści.
Pierwsza wersja Confickera pojawiła się pod koniec 2008 roku, rozprzestrzeniając się w szalonym tempie poprzez lukę w usłudze RPC systemów operacyjnych Windows. Chociaż parę miesięcy wcześniej Microsoft udostępnił stosowną poprawkę, wielu użytkowników ją zignorowało, stając się łatwym celem ataków. Do połowy stycznia robak zainfekował 9 mln komputerów. W tej chwili mówi się już o 12 mln zarażonych pecetów.
Od kilku tygodni w sieci krąży trzecia z kolei mutacja robaka. Specjaliści z firmy ESET są przekonani, że została ona przygotowana w jednym tylko celu - zainfekowania w możliwie jak najkrótszym czasie ogromnej liczby komputerów na całym świecie i zaatakowania infrastruktury internetu. Warto zauważyć, że do infekcji dochodzi także za pośrednictwem przenośnych dysków USB.
Nowy wariant Confickera posiada rozszerzoną bazę domen, z którymi robak połączy się 1 kwietnia w celu pobrania dalszych instrukcji działania. Poprzednie mutacje szkodnika w poszukiwaniu wspomnianych instrukcji sprawdzały około 250 domen dziennie. Eksperci z Kaspersky Lab szacują, że w przypadku trzeciej wersji Confickera liczba możliwych do odwiedzenia domen sięga 50 tys. dziennie.
Specjalistom nie udało się ustalić, jaką primaaprilisową niespodziankę szykują swoim użytkownikom zainfekowane komputery. Analizy wykazały, że robak cyklicznie sprawdza bieżącą datę. Korzysta przy tym z popularnych stron internetowych, ignorując zegar systemowy (dlatego eksperci od bezpieczeństwa wciąż nie wiedzą, co stanie się 1 kwietnia). Nieciężko jednak sobie wyobrazić, jak ogromny potencjał może tkwić w sieci zombie składającej się z 12 mln pecetów.
- Przypuszczamy, że głównym celem twórców robaka jest skonstruowanie niezwykle rozbudowanej sieci botnet, za pośrednictwem której możliwe będzie zainicjowanie zmasowanego ataku na infrastrukturę samej sieci internet, na skalę dotąd niespotykaną - twierdzi Juraj Malcho, dyrektor laboratorium antywirusowego firmy ESET.
Natomiast Stefan Savage z Uniwersytetu Kalifornijskiego w San Diego uważa, że robak posłuży do powstania czegoś w rodzaju "Dark Google". Ma on na myśli system umożliwiający wyszukiwanie i ściąganie danych przechowywanych na zarażonych komputerach. Łupem cyberprzestępców mogą wówczas paść rozmaite poufne informacje, w tym hasła i numery kart kredytowych.
Nie wpadajmy jednak w panikę, istnieje duże prawdopodobieństwo, że stworzona przez Confickera sieć zombie będzie wykorzystywana w standardowy sposób. Kontrolująca ją osoba może przeprowadzać ataki DDoS, używać botnetu jako sieci proxy do ukrycia nielegalnej działalności czy też masowo rozsyłać spam. Kolejną opcją jest wynajęcie części lub całości mocy obliczeniowej sieci - biznes ten nosi nazwę Crime As A Service (CAAS).
Warto odnotować, że Conficker znany jest także pod następującymi nazwami: Downup, Downadup oraz Kido. Eksperci firmy Symantec zalecają ostrożność przy poszukiwaniu w sieci informacji o szkodniku - cyberprzestępcy zaczęli bowiem manipulować wynikami wyszukiwania, starając się zwabić jak najwięcej internautów na zainfekowane strony.
