Conficker: prima aprilis czy zagłada?
Pierwszego kwietnia (a więc już za chwilę) ma się zaktualizować najgroźniejszy ostatnimi czasy robak Conficker (zwany także Downadup lub Kido) i… No właśnie, i co? Wiele doniesień prasowych spekuluje najgorsze rzeczy. Wygląda jednak na to, że to szukanie (na wyrost) sensacji i sianie paniki.
Po pierwsze, złośliwe oprogramowanie bardzo często aktualizuje się na komputerze ofiary – Conficker nie jest wyjątkiem. Co więcej, w obecnej wersji tego robaka już istnieje mechanizm aktualizacji poprzez wbudowany protokół P2P! Oczekiwany na jutrzejszy dzień update jest więc lekko “przereklamowany” – byłaby to po prostu kolejna aktualizacja.
To co wydarzy się pierwszego kwietnia to zmiana algorytmu, dzięki któremu już zainfekowane komputery wyszukiwać będą potencjalne źródła update’ów. Znane są (wygenerowane automatycznie według pewnego algorytmu) domeny, z którymi Conficker będzie się łączył. Zapewne wiele z nich jest już cały czas monitorowanych przez specjalistów od bezpieczeństwa. Przykładem jest tutaj chociażby CERT Polska - monitorujemy pewną liczbę domen, które w przeciągu kilku dni miały być użyte przez twórców Confickera. W przyszłości opublikujemy raport z naszych obserwacji.
Co się więc prawdopodobnie stanie? Każda instancja bota będzie usiłowała się połączyć poprzez HTTP GET z serwerami kryjącymi się pod nazwami z losowej puli 500 domen z 50 000 możliwych danego dnia, w celu sprawdzenia, czy udostępniane są nowe aktualizacje. Najprawdopodobniej odpytywane przez zarażone komputery serwisy mogą być “zalane” połączeniami, w sposób niezamierzony wywołując efekt podobny jak w ataku DDoS. Narażone na DDoS są więc serwisy, których domeny zostały już wcześniej zarejestrowane w innych celach, nie związanych z Confickerem. Jednakże wydaje się mało prawdopodobne, by twórcy Confickera zdecydowali się na masową aktualizację akurat tego dnia, w którym wszyscy się tego spodziewają i większość specjalistów od bezpieczeństwa monitoruje te adresy. Może wręcz się okazać, że do aktualizacji z wykorzystaniem domen nie dojdzie, albowiem zostanie wykorzystany (lub już został) mechanizm P2P.
Pomimo, że uważamy iż nic wielkiego nie stanie się pierwszego kwietnia, to nie zmienia to faktu, że Conficker stanowi duże zagrożenie. Nie należy zatem wpadać w panikę, tylko upewnić się czy infekcja nie występuje na własnym komputerze / we własnej sieci.
Przykładowe narzędzia służące do usuwania Confickera:
Więcej szczegółów o samym robaku i jego związku z pierwszym kwietnia:
- www.secureworks.com
- Know Your Enemy: Containing Conficker (The Honeynet Project)
- SRI International Conficker C Analysis
Poniżej publikujemy listę kwietniowych domen “.pl” (posortowane alfabetycznie), które mają być użyte przez robaka. Jeżeli wasza domena przypadkiem znajduje się na niej – warto przygotować się na ewentualny atak DDoS.
- www.cert.pl/PDF/conficker_pl.txt (133 KB)
Polecamy także poprzednie nasze wiadomości związane z tym zagrożeniem:
- Conficker/Downadup – krajobraz Polski
- Masowy atak nowego robaka
- Krytyczna aktualizacja Microsoft Windows (MS08-067)
Tags: botnet, Conficker, domain fluxing, Downadup, luka, malware, Microsoft, P2P, patch, robak, worm
