Naukowcy pokonają robaka Conficker?

Według statystyk Conficker Working Group (CWG), liczba systemów zainfekowanych szkodnikiem wzrosła w czerwcu z nieco ponad 4 milionów (unikatowe adresy IP) do ponad 5 milionów. Wariant A tego robaka jest szczególnie wybredny: nie atakuje on żadnych systemów, które znajdują się na Ukrainie.

Aby określić lokalizację komputera, który ma się stać celem ataku, Conficker próbuje odpytywać bazy danych tak zwanych Geo-IP, które umożliwiają przybliżone określenie lokalizacji komputera posługującego się danym IP. Mówiąc ściślej, Conficker.A sięga do baz geodanych firmy MaxMind, która jednak krótko po pojawieniu się robaka przeniosła swoje serwery pod inny adres, aby w ten sposób uniemożliwić dalsze kwerendy.

Na tym, że robak w dalszym ciągu korzysta z trwale ustalonego adresu, zyskać chcą teraz specjaliści z Bonn - Felix Leder i Tillman Werner. Obrali sobie oni za cel definitywne wyeliminowanie robaka. W tym celu stworzyli bazę danych i uruchomili ją pod udostępnionym przez firmę MaxMind adresem. Baza danych dla każdego odpytywanego adresu jako miejsce podaje Ukrainę. W rezultacie tego, wyszukiwany system nie jest atakowany i nie ulega infekcji.

- Obecnie obserwujemy miliony przypadków dostępu dziennie - informuje Tillman Werner. Zanim jednak uda się ustalić, ile z tych wywołań można przypisywać skutkom infekcji, minie trochę czasu. W każdym razie udało nam się w niewielkim stopniu przyczynić do zahamowania rozprzestrzeniania się tego szkodnika - tłumaczy.

W rzeczy samej liczba zainfekowanych systemów od minionego tygodnia nie tylko zatrzymała się, ale nawet zaczęła spadać. Zdaniem naukowców ważne jest teraz oczyszczenie już zainfekowanych systemów tak, aby infekcje znowu nie rozlały się wielką falą po internecie. W tym celu specjaliści pod adresem http://four.cs.uni-bonn.de/conficker przygotowali kilka programów pomocnych w walce ze "szkodnikiem". Leder i Tillman jeszcze na początku roku opublikowali analizę robaka i narzędzia do jego usuwania.