Med global indsats er en ny type orm sænket

Der har været store computerorm udbrud før, men ikke noget som Conficker.

Først set i november, havde ormen snart inficeret flere computere end nogen orm i de seneste år. Ved nogle estimater er det nu installeret på mere end 10 millioner pc'er. Men siden det første udseende har det været mærkeligt stille. Conficker inficerer pc'er og spredes rundt om netværk, men det gør ikke noget andet. Det kan bruges til at starte en massiv cyberattack, der forkæmper stort set enhver server på internettet, eller det kan leases ud til spammere for at pumpe ud milliarder af billioner af spambeskeder. I stedet sættes den der, en massiv ødelæggelsesmotor, der venter på, at nogen skal vende nøglen.

Indtil for nylig vidste mange sikkerhedsforskere simpelthen ikke, hvad Conficker-netværket ventede på. På torsdag afslørede en international koalition, at de havde taget hidtil usete skridt for at holde ormen adskilt fra de kommando- og kontrol-servere, der kunne kontrollere det. Gruppen består af sikkerhedsforskere, teknologiselskaber, domænenavnregistratorer, der har sluttet sig sammen med Internet Corporation for Assigned Names and Numbers (ICANN), som overvåger internets domænenavnssystem.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Forskere havde adskilt Conficker kode og opdaget, at den bruger en vanskelig ny teknik til at ringe hjem til nye instruktioner. Hver dag genererer ormen en frisk liste med omkring 250 tilfældige domænenavne som aklkanpbq.info. Det kontrollerer derefter disse domæner for nye instruktioner og verificerer deres kryptografiske signatur for at sikre, at de blev oprettet af Conficker's forfatter.

Når Conficker kode blev først revnet, opsøgte sikkerhedseksperter nogle af disse tilfældigt genererede domæner og skabte det såkaldte sinkhole servere til at modtage data fra hackede maskiner og observere hvordan ormen arbejdede. Men da infektionen blev mere udbredt begyndte de at registrere alle domænerne - tæt på 2.000 om ugen - at tage dem ud af omløb, før kriminelle havde en chance. Hvis de onde fyre forsøgte at registrere et af disse kommando-og-kontrol-domæner, ville de have fundet ud af, at de allerede var blevet taget af en fiktiv gruppe, der kalder sig Conficker Cabal. Dens adresse? 1 Microsoft Way, Redmond Washington.

Dette er en ny slags kat-og-mus spil til forskere, men det er blevet testet et par gange i løbet af de sidste par måneder. I november brugte en anden gruppe teknikken til at tage kontrol over domæner, der blev brugt af et af verdens største botnetnetværk, kendt som Srizbi, og skar det fra sine kommando- og styringsservere.

Med tusindvis af domæner, Denne taktik kan dog blive tidskrævende og dyr. Så med Conficker har gruppen identificeret og låst navn ved hjælp af en ny teknik, kaldet domæneregistrering og lås.

Ved at opdele arbejdet med at identificere og låse Conficker domæner op, har gruppen kun holdt ormen i gang, ikke behandlet det som et fatalt slag, sagde Andre DiMino, medstifter af The Shadowserver Foundation, en cybercrime watchdog gruppe. "Dette er virkelig den første nøgleindsats på dette niveau, der har potentiale til at gøre en betydelig forskel," sagde han. "Vi vil gerne tro, at vi har haft en vis effekt i at forkæle det."

Dette er uklart område for ICANN, den gruppe, der er ansvarlig for styringen af ​​internets adressesystem. ICANN er tidligere blevet kritiseret for at være langsom til at bruge sin magt til at tilbagekalde akkreditering fra domænenavnregistratorer, der har været meget udbredt af kriminelle. Men denne gang får det ros for afslappende regler, der har gjort det vanskeligt at låse domæner og for at samle gruppens deltagere.

"I dette særlige tilfælde smedede de hjulene, så det kunne bevæge sig hurtigt," sagde David Ulevitch, grundlægger af OpenDNS. "Jeg synes de burde være roste for det … Det er en af ​​de første gange, at ICANN virkelig har gjort noget positivt."

Det faktum, at en sådan forskelligartet gruppe af organisationer arbejder sammen, er bemærkelsesværdigt, siger Rick Wesson, administrerende direktør for Network Security Consultancy Support Intelligence. "At Kina og Amerika samarbejdede for at besejre en ondsindet aktivitet på globalt plan … det er alvorligt. Det er aldrig sket," sagde han.

ICANN returnerede ikke opkald, der søgte kommentarer til denne historie og mange af deltagerne i Conficker-indsatsen, herunder Microsoft, Verisign og China Internet Network Information Center (CNNIC) afvist at blive interviewet for denne artikel.

Privatpersoner siger nogle deltagere, at de ikke ønsker at henlede opmærksomheden på deres individuelle bestræbelser på at bekæmpe, hvad der muligvis kan være en organiseret cyberkriminalitetsgruppe. Andet siger, at fordi indsatsen er så ny, er det stadig for tidligt at diskutere taktik.

Uanset den fulde historie er indsatsen klart høj. Conficker er allerede blevet spottet på offentlige og militære netværk og har været særlig virulent inden for virksomhedens netværk. En slip-up, og Conficker's skabere kunne omprogrammere deres netværk, hvilket giver computere en ny algoritme, der skulle knækkes og give dem mulighed for at bruge disse computere til ondskabsfuldt formål. "Vi skal være 100 procent nøjagtige," sagde Wesson. "Og kampen er et daglig kamp."

(Sumner Lemon i Singapore bidrog til denne rapport.)