Conficker Awakens, begynder at scamming

Conficker ormen er tilbage i aktion og stumping sikkerhed eksperter igen. Et af de smukkeste designede stykker malware har for nylig fået en opdatering og begynder endelig at opføre sig som andre orme. Her er hvad der sker:

Nye martsordrer

På onsdag begyndte 8. april sikkerhedsfirmaer at se nogle varianter af Conficker C, den seneste Conficker-smag, modtage opdateringer gennem sin krypterede fildeling (P2P) fildeling funktionalitet. Security Firm Trend Micro rapporterer, at de nye Conficker-instruktioner kom fra en server i Korea, og den nye fil blev oprettet den 7. april 2009 kl 07:41:21. Den nye opdatering styrket Conficker's forsvar og de nye Conficker-funktioner lukkes den 3. maj 2009.

Indtil den 3. maj vil den opdaterede Conficker søge internettet til uinficerede Windows-maskiner, der ikke har anvendt sikkerhedsopdateringen Microsoft MS08-67. Denne søgning og inficeringsfunktionalitet blev slået fra i tidligere Conficker-sorter, formodentlig at kontrollere størrelsen af ​​en fremtidig botnet. Det ser imidlertid ud til, at Confickers forfattere har genovervejet den strategi og ser ud til at vokse deres skabelse igen. Nogle Conficker-varianter er også programmeret til at inficere en unpatched computer, og når Conficker er i maskinen, laver ormen op svagheden for at undgå andre typer af malware, der udnytter den samme sårbarhed.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Når Conficker inficerer en ny maskine eller får sin opdatering, forsøger den at oprette forbindelse til MySpace.com, MSN.com, Ebay.com, CNN.com og AOL.com for at kontrollere, at computeren er koblet til internettet.

Conficker første svindel afslørede

Den nye Conficker har også begyndt at udvise tegn på traditionel malware. Ved hjælp af et af de ældste tricks i bogen, kaldet scareware, downloader den nye Conficker C et falskt antivirusprogram, der hedder Spyware Protect 2009 (afbildet). F-Secure siger, at det hedder Spyware Guard 2008. Det falske program leverer derefter en pop op-meddelelse, der fortæller dig, at din computer er inficeret, men for kun $ 49,95 kan det falske antivirusprogram fjerne malware. Derefter henvises du til et falsk websted, hvor du uforvarende indtaster alle dine kreditkortoplysninger, og så kriminelle griner hele vejen til banken - din bank, det vil sige. Scareware scam ser ud til at komme fra en server i Ukraine, ifølge Washington Post.

Conficker: Spambot i forklædning?

Conficker, som er et vanskeligt lille program, synes at være forbundet på en eller anden måde til Waledac ormen - og Waledac selv betragtes som en opdatering af Storm Worm. Der er ingen konsensus om, hvad Conficker faktisk laver, men ifølge sikkerhedsfirmaet F-Secure går Conficker til et domæne, der vides at være forbundet med Waledac og faktisk downloader Waledac-ormen. Trend Micro siger i mellemtiden Conficker at downloade en kode fra Waledac-domænet, men sikkerhedsfirmaet vil gøre yderligere undersøgelser, inden den bekræfter en Conficker-Waledac-forbindelse. Trend Micro antyder imidlertid, at Conficker kan blive klar til at arbejde som en storstilet spamming botnet, en kendt funktion af Waledac-ormen.

Conficker: Mere end øjet

Tilsyneladende har den nye Conficker flere tricks op dens ærme, som forskerne endnu ikke har afsløret. Mens sikkerhedshold forsøger at afdække alle Conficker nyeste tricks og tweaks, ved de, at Conficker er vågen og ormens forfattere begynder at bruge Conficker-inficerede maskiner til at tjene penge. Hvor langt dette vil gå, er i øjeblikket ukendt.

Hvor går vi herfra?

Som sikkerhedsforskere begynder at opgrave mysterierne omkring den seneste version af Conficker, kan du beskytte dig selv mod ormen ved først at teste dit infektionssystem og derefter ved at sørge for, at du har de nyeste Microsoft Security-patches, og at dit antivirusprogram er opdateret. Conficker Working Group har en simpel test for at se, om du er smittet med Conficker.