Conficker: wielka porażka autora robaka?

Wciąż nie wiadomo, kto jest autorem robaka Conficker (znanego również jako Downadup) - ale wiadomo już, że osoba ta musi być bardzo rozczarowana. Programista (lub programiści), który stworzył tego niebezpiecznego szkodnika bardzo się napracował, ale szum medialny wokół Confickera najprawdopodobniej sprawił, że cała ta praca poszła na marne.

"Wszystko, co zrobili przez te kilka miesięcy, okazało się bezowocne" - powiedział Alfred Huger z Symantec Security Response Team. "Paradoksalnie, tym, co najbardziej zaszkodziło autorom Confickera, były wielkie początkowe sukcesy robaka - okazał się on na tyle skuteczny i nowatorski, że wzbudził ogromne zainteresowanie specjalistów z całego świata" - tłumaczy Huger.

To z kolei sprawiło, że przez ostatnie kilka tygodni - gdy już było wiadomo, że robak może zaatakować 1 kwietnia - pisały o nim wszystkie branżowe media. Autorzy szkodnika stracili więc efekt zaskoczenia - wszyscy byli gotowi na ewentualną eskalację działań Confickera.

"Ten robak był najlepiej "obsłużony medialnie" od czasów osławionego Code Red. I bardzo dobrze - moim zdaniem niebezpieczeństwo wcale nie było przesadzone i gdyby nie te wszystkie publikacje, Conficker mógłby okazać się bardzo groźny - gdyby zdołał zaatakować niepostrzeżenie" - mówi Huger. Przypomnijmy - Code Red to robak, który w 2001 r. zdołał zaatakować setki tysięcy serwerów wykorzystujących oprogramowanie Microsoftu. Co ciekawe, zarówno Code Red, jak i Conficker rozprzestrzeniały się przez lukę, którą koncern z Redmond załatał kilka tygodni przed pojawieniem się robaków.

W obliczu zagrożenia ze strony Confickera świetnie zorganizowali się specjaliści ds. bezpieczeństwa z różnych firm - warto wspomnieć, że przez minionych kilka tygodnia działała nieformalna grupa robocza, która przez cały czas szukała sposobów na zakłócenie komunikacji robaka z serwerami kontrolującymi go. Ostatecznie się to nie udało - robak okazał się świetnie zabezpieczony. Ale eksperci i tak odnotowali kilka ważnych sukcesów - udało im się m.in. stworzyć narzędzie potrafiące błyskawicznie wykrywać maszyny zainfekowane przez robaka (i to mimo tego, że Conficker został wyposażony w specjalne narzędzie do maskowania się).

Problemy autora robaka tak naprawdę zaczęły się już w styczniu - mówi Huger. Robak zdołał wtedy zaledwie w kilka dni zainfekować kilkaset tysięcy komputerów z Windows. To przyciągnęło uwagę specjalistów ds. bezpieczeństwa, którzy od tego momentu zaczęli uważnie przyglądać się szkodnikowi. "Wszystkich zaintrygowało to, jak dobrze jest napisany ten robak" - tłumaczy przedstawiciel Symanteka.

"Jestem przekonany, że zainteresowanie mediów było ostatnią rzeczą, na której zależało autorowi tego programu. Przestępcy tworzący botnety [Conficker jest tzw. botwormem - czyli robakiem zmieniającym komputer w element sieci zombiePC - red.] chcą działać po cichu, bo w ten sposób mogą najwięcej i najszybciej zarobić. Na szczęście w tym przypadku to się nie udało" - dodaje Vincent Weafer, również reprezentujący koncern Symantec.

Co ciekawe, wciąż tak naprawdę nie wiadomo, ile komputerów zdołały zainfekować wszystkie aktywne obecnie mutacje Confickera - w różnych raportach padają bardzo różne liczby (mówi się o od 1 mln do 12 mln maszyn).

Przypomnijmy: Conficker miał uaktywnić się 1 kwietnia 2009 r. - z analiz robaka wynikało, że tego dnia połączy się on z serwerami kontrolującymi go i pobierze aktualizację lub instrukcje dotyczące dalszego działania. Wydaje się jednak, że nic takiego nie nastąpiło - 1 kwietnia minął, a specjaliści nie odnotowali żadnej znaczącej zmiany w aktywności robaka.


Zobacz również