Confikcer zaczyna zarabiać

Nowy wariant uaktywnił się w nocy ze środy na czwartek - co ciekawe, Conficker.e bardzo przypomina swoje pierwsze wydanie (Conficker.a) - do tego stopnia, że analizujący robaka specjaliści w pierwszej chwili uznali, że mamy do czynienia z ponownym uaktywnieniem się pierwszej wersji. "Ale okazało się, że to nowa mutacja, w której po prostu wykorzystano obszerne fragmenty kodu poprzedniego robaka" - mówi Kevin Hogan, szef działu bezpieczeństwa koncernu Symantec.

Conficker.e różni od swoich poprzedników m.in. tym, że pobiera z Sieci i instaluje w zainfekowanych przez niego komputerach dodatkowe złośliwe oprogramowanie. A to po raz pierwszy od pojawienia się robaka pokazuje, w jaki sposób jego twórcy chcą zarabiać.

Z analiz Symanteka wynika, że Conficker.e instaluje w systemie Windows innego botworma (czyli robaka przekształcającego komputer w element botnetu) - o nazwie Waledac. Szkodnik ten uznawany jest za następcę osławionego Storma (pierwszego wielkiego botnetu, rozbitego przez Microsoft). Jego specjalnością jest spamowanie - właściciele botnetu Waledac wynajmują go spamerom do rozsyłania niechcianych e-maili reklamowych.

"Przychodzą mi do głowy dwie teorie. Pierwsza jest taka, że zarówno Waledac, jak i Conficker są dziełami tej samej grupy - lub ewentualnie dwóch ściśle współpracujących ekip. Ale być może twórcy Confickera po prostu sprzedali swój botnet - a nabywcy chcą wykorzystać go do zwiększenia możliwości swojego spamerskiego botnetu" - komentuje Hogan.

Inną metodę zarabiania na Confickerze wykrył Alex Gostev, specjalista ds. wirusów z rosyjskiej firmy Kaspersky Lab - z jego analiz wynika, że nowy wariant instaluje w systemie nie tylko robaka Waledac, ale także oprogramowanie typu scareware, którego zadaniem jest wyłudzanie pieniędzy od użytkownika. Zasada działania jest prosta - scareware wyświetla na zainfekowanym komputerze informacje, że jest on zainfekowany przez wiele groźnych wirusów i że jedynym sposobem na ich usunięcie jest kupienie przez Internet programu antywirusowego. Aplikacja ta zwykle kosztuje kilkadziesiąt USD (w tym przypadku - 50) i nie robi nic, poza... usunięciem komunikatu o zagrożeniu.

Gostev napisał w oficjalnym blogu swojej firmy, że Conficker.e instaluje w systemie scareware o nazwie SpywareProtect2009. Warto jednak dodać, że rewelacji tych nie potwierdzają pracownicy Symanteka - oni podczas analiz robaka nie zauważyli, by instalował coś takiego w zainfekowanym systemie. Kevin Hogan zastrzega jednak, iż to może być dowód na to, że obecni właściciele Confickera dywersyfikują swoje działania i wykorzystują kilka odmian dodatkowego złośliwego oprogramowania.

Warto przypomnieć, że twórcy robaka starali się sprawić, by już pierwsza wersja Confickera - wariant A - zarabiała dla nich. Ta mutacja również próbowała instalować scareware - ale na skutek jakiegoś błędu instalacja fałszywego programu zabezpieczającego nie udawała się. Wersja b i c nie podejmowały takich działań - oba robaki zajmowały się przede wszystkim rozbudowywaniem botnetu. Scareware powrócił w najnowszym wydaniu. Co ciekawe, w wersji E znów pojawiła się możliwość infekowania komputerów przez lukę w Windows Server (autorzy szkodnika usunęli ją z wydania C).