F-Secure: "niesamowity" robak zaatakował 9 milionów pecetów

W piątek, 16 stycznia, spółka F-Secure poinformowała, że liczba infekcji robakiem Downadup rośnie w gwałtownym tempie. Od wtorku, kiedy Finowie donosili o 2,4 mln. zaatakowanych komputerów, liczba ta szybko wzrosła, osiągając wartość 8,9 mln. infekcji. Wyraźny wzrost zarówno liczby infekcji, jak i kopii robaka, krążących w Internecie odnotowały również inne spółki branżowe, w tym chociażby Panda Security.

Epidemii cyberszkodnika na taką skalę nie notowano od lat - uważa Mikko Hypponen, przedstawiciel firmy. Przypomina mu to stare przypadki epidemii robakami Loveletter, Melissa, Sasser i Blaster.

Przypomnijmy, że robak o którym mowa, znany pod nazwą Downadup lub Conficker - wykorzystuje błąd w usłudze Windows Server w systemach Windows 2000, XP, Vista, Server 2003 i Server 2008 (por. artykuł Robak atakuje przez stary błąd w Windows). Microsoft załatał ów błąd pod koniec października 2008 r. udostępniając stosowną łatkę poza standardowym cyklem uaktualnień. Niestety, jak informuje inna spółka z branży e-bezpieczenstwa, Qualys Inc., ok. 1/3 komputerów PC pozostaje wciąż narażona na atak, gdyż zainstalowane na nich systemy nie zostały wciąż załatane.

Zasada działania robaka jest następująca - pinguje on maszyny działające w sieci spreparowanymi pakietami RPC (Remote Procedure Call). W ten sposób wykrywa komputery, w których poprawki nie zostały zainstalowane. Po zainfekowaniu systemu robak próbuje atakować inne maszyny działające w tej samej sieci - przeprowadza ataki typu brute-force, usiłuje też kopiować się na wszystkie podłączane do komputera urządzenia USB (odtwarzacze multimedialne, aparaty cyfrowe, klucze pamięci). Szkodnik potrafi sam się uaktualniać i blokować instalowanie w systemie poprawek bezpieczeństwa.

Robak, po zagnieżdżeniu na dysku twardym, generuje listę możliwych domen, wybiera jedną z nich po czym korzysta z tego adresu URL do komunikacji z serwerem, skąd pobiera kolejne złośliwe aplikacje. F-Secure przekonuje, że pracownikom firmy udało się zarejestrować niektóre z tych domen i w oparciu o to monitorować ruch sieciowy przez te adresy.

Microsoft, w reakcji na doniesienia na masowe infekcje systemów opisywanym robakiem, przygotował aktualizację narzędzia Malicious Software Removal Tool, służącego do wykrywania i usuwania złośliwego oprogramowania z dysku twardego. Nowa wersja, oznaczona numerem 2,6 i dostępna do pobrania z działu Programy PC World ma być skuteczna w usuwaniu Confickera.