Kaspersky, OpenDNS Samarbejd til Slow Conficker Worm

OpenDNS har tilføjet en funktion til sine DNS-tjenester (Domain Name System) for at bekæmpe en udbredt orm med hjælp fra det russiske sikkerhedsfirma Kaspersky Lab.

OpenDNS har sit eget netværk af DNS-servere, der oversætter domænenavne til IP (Internet Protocol) adresser, for eksempel kan websider vises i en browser. Virksomheden siger, at systemet er hurtigere end at bruge DNS-serverne, der drives af internetudbydere (internetudbydere) og giver bedre beskyttelse mod phishing samt andre funktioner som filtrering af webindhold.

OpenDNS bruger nu en liste over websteder, der leveres af Kaspersky Lab, at Conficker-ormen opfordrer til at opdatere sig selv. Ormen, der også er kendt som Kido og Downandup, menes at have inficeret op til 10 millioner pc'er ved at udnytte en sårbarhed i Microsofts Windows Server Service, på trods af at Microsoft udstedte en nødlås i oktober.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Conficker indeholder en algoritme, der genererer snesevis af nye domænenavne dagligt. De hackere, der kontrollerer Conficker, kan registrere et af disse domænenavne og derefter sætte instruktioner eller opdateringer til malware på webstedet for Conficker at downloade, når det kontrolleres.

Problemet er, at ingen ved, hvilket websted der vil blive aktiveret næste, eller hvornår. Algoritmen er imidlertid blevet sprængt af Kaspersky, så de ved, hvilke websteder der potentielt kan blive levende.

Mekanismen bruges også af andre botnet controllere. Det er svært for sikkerhedseksperter at stoppe, selv om et sikkerhedsselskab for nylig har været i besvær med at registrere alle de potentielle domænenavne for at blokere opdateringer til et andet botnet.

OpenDNS arbejder på det problem ved at tage en liste over potentielle domæner fra Kaspersky, som Conficker kunne kalde på og ikke tillade dem at løse. Det betyder, at hvis en pc, der bruger OpenDNS, er inficeret med Conficker, bør malware ikke kunne opdatere sig selv. Malware er dog stadig på pc'en.

OpenDNS tilføjede også en Botnet Protection-funktion til sin tjeneste, som advarer administratorer, hvis de har en inficeret maskine.

Conficker har vist sig at være en af ​​de mest alvorlige orme i nyere hukommelse. Infektioner har spredt sig hurtigt siden sidste år. Systemer bliver smittet, når en hacker konstruerer et ondskabsfuldt Remote Procedure Call (RPC) til en unpatched server, som derefter tillader vilkårlig kode at køre på en maskine. Conficker bruger også andre metoder til at sprede sig, herunder at prøve at kopiere sig til andre delte netværksmaskiner ved at gætte adgangskoder.

Conficker's controllere har indtil videre ikke gjort noget ondsindet med botnet. Sikkerhedsanalytikere følger situationen nøje på grund af botnetets enorme størrelse, som muligvis har spooked sine controllere fra at forsøge at bruge den til benægtelse af tjenesten eller sende spam.

OpenDNS tjenester er gratis. Virksomheden tjener penge ved viser annoncer sammen med søgeresultater, hvis nogen indtaster et ugyldigt domænenavn. OpenDNS vil dog rette typografier i domænenavne, hvis tjenesten kan gætte hvilken side en person har til hensigt at besøge.