Conficker Group siger Worm 4.6 Million Strong

Sikkerhedseksperter siger, at Conficker-ormen har inficeret en forfærdelig masse computere, hvilket gør det til det største "botnet" af hackede computere på planeten. Det, de ikke synes at være enige om, er præcis, hvor mange mennesker der er ramt.

Den gruppe af forskere, der er nøje sporet - og kæmper - ormen har nu frigivet sit eget skøn over Conficker størrelse. Ifølge data fra Conficker Working Group er Conficker blevet spottet på lige under 4,6 millioner unikke IP-adresser. Dens tidligere A- og B-varianter tegner sig for løvenes andel af det - 3,4 millioner IP-adresser - med den nyere C-variant spottet på 1,2 millioner adresser.

De lande, der måler det største antal infektioner for alle varianter, er Kina, Brasilien og Rusland.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Conficker har siden oktober inficeret Windows-maskiner, men i de seneste uger har den fået meget opmærksomhed som en nyere version af ormen Conficker.C har opdateret den måde, den leder efter instruktioner, hvilket gør det meget sværere at stoppe.

Conficker inficerede næsten 800 pc'er i løbet af den sidste weekend ved University of Utah's Health Sciences Center. IT-personale der tror, ​​at det måske har været på netværket via et inficeret tavle. Når den er installeret på en pc, er Conficker meget effektiv til at finde ud af andre ikke-pakkede Windows-maskiner til at sprede.

Brugere, der undrer sig over, om de er smittet af ormen, kan prøve denne enkle test udviklet af SecureWorks. for uger siden af ​​OpenDNS, og IBMs Internet Security Systems-gruppe havde foreslået, at så mange som 4 procent af pc'er kunne være ramt med Conficker-ormen, men arbejdsgruppens analyse tyder på, at antallet sandsynligvis er meget lavere.

"Vi håber at udgivelsen af ​​disse tal vil kaste en lille smule virkelighed i ligningen, "sagde Andre DiMino, medstifter af The Shadowserver Foundation og et medlem af arbejdsgruppen. Han mener ikke, at 4 procent af pc'erne var smittet. "Det er svært at gøre en sag for det lige nu," sagde han.

Men det faktiske antal infektioner kunne være højere eller lavere end 4,6 millioner, indrømmede DiMino. Fordi arbejdsgruppens metode tæller IP-adresser, kan de have overregnede forbrugere, der logger på fra flere IP-adresser eller underkunderede virksomhedsinfektioner, som ofte skjules bag en enkelt IP-adresse.

OpenDNS, IBM og arbejdsgruppen alle brugte forskellige teknikker til at nå frem til deres estimater, men de stoler alle på, at inficerede maskiner skal tjekke ind med en "kommando- og kontrol" -server for instruktioner. Arbejdsgruppen fik sine data ved at oprette "sinkhole" -servere ved punkter på internettet, der bruges af inficerede maskiner til at downloade instruktioner. De gjorde dette ved at overtage de internetdomeiner, Conficker er programmeret til at besøge for at søge efter disse instruktioner.

Antallet af infektioner målt af arbejdsgruppen er i overensstemmelse med sine estimater af tidligere varianter af ormen, sagde DiMino. "Ikke alle As og Bs er blevet forvandlet til Cs," sagde han.

For at komplicere sager yderligere blev en ny variant af Conficker opdaget i sidste uge, og denne kommunikerer primært ved hjælp af peer-to-peer-teknikker, hvilket måles ikke let af arbejdsgruppens sinkhole-servere. Det betyder, at gruppen sandsynligvis vil have brug for at udvikle en ny måde at tælle infektioner på, når peer-to-peer-varianten spredes, siger DiMino.

Selv om arbejdsgruppens data ved første øjekast er helt anderledes end IBMs resultater er ikke en overraskelse, ifølge Holly Stewart, en hot response manager med IBMs Internet Security Systems (ISS). Det er "rigtig svært" at få en løsning på størrelsen af ​​botnet, sagde hun. "Jeg tror ikke nogen har et perfekt svar," sagde hun. "De har et datapunkt, og vi har et andet datapunkt."

"Hvis du spørger mig, hvad det sande tal er," tilføjede hun, "vi ved det ikke."