Conficker zaatakuje 1 kwietnia?

1 kwietnia robak Conficker ma ponownie zaatakować. Czego można się w związku z tym spodziewać? Jaki rodzaj aktywności szkodnika może wchodzić w grę?

Conficker każdego dnia generuje nowe adresy URL i za każdym razem łączy się z nimi celem sprawdzenia, czy dostępny jest nowy kod do pobrania. Codziennie generowanych jest 500 lub 1000 adresów. Natomiast 1 kwietnia, zamiast 500 czy 1000, ma zostać wygenerowanych 50 tys. nowych adresów URL. Autor robaka zakłada, że wygenerowanie jednego dnia bardzo dużej liczby URL znacznie utrudni pracę producentom systemów zabezpieczeń, którzy na bieżąco blokują nowe, pojawiające się dopiero adresy.

Istnieje możliwość, że jeden z adresów będzie prowadził do strony, na której ukryta jest nowa wersja robaka Conficker. Posłuży ona do zaktualizowania zainfekowanych komputerów. Do aktualizacji dojdzie tylko wtedy, gdy w pliku znajdzie się podpis elektroniczny autora. W przeciwnym wypadku Conficker nie zostanie zaktualizowany.

Nowa aktualizacja może zostać wykorzystana do następujących działań: masowego rozpowszechniania samego robaka, dystrybucji innych złośliwych programów, fałszywych systemów zabezpieczeń, tworzenia botnetów itp.

Autorzy robaka stale udoskonalają jego mechanizmy ukrywania. Wcześniejsze wersje były pakowane z wykorzystaniem prostych systemów, przez co ich rozpakowanie nie sprawiało trudności. Najnowsze odmiany są bardziej skomplikowane. Mamy więc do czynienia z polimorficznym rodzajem złośliwego oprogramowania, ponieważ szkodliwy kod jest ukrywany za pomocą szeregu warstw. Możliwe jest, że ten złośliwy program przejdzie ewolucję, ponieważ obecnie znacznie utrudniamy jego rozprzestrzenianie.

Co sugerowałby Pan użytkownikom komputerów na dzień przed tym wydarzeniem?

Zgodnie z potwierdzonymi informacjami robak próbuje obecnie zainfekować jak największą liczbę komputerów. Autorzy złośliwego kodu wyszukują luki typu "zero day", znajdując kolejne komputery do rozpowszechniania złośliwego oprogramowania. Nie wiemy natomiast, co stanie się z zainfekowanymi komputerami.

Klienci, których komputery są chronione przy użyciu oprogramowania antywirusowego - zaktualizowanego pod kątem tej odmiany zagrożenia, nie mają się czym martwić. Zalecamy wszystkim zainstalowanie poprawek systemu operacyjnego i zaktualizowanie oprogramowania antywirusowego. Ponieważ wirus do rozprzestrzeniania się może wykorzystywać port USB, proponujemy użycie bezpłatnego narzędzia do ochrony pamięci USB.

Czy dysponuje Pan informacjami o tym jaka liczba komputerów została zainfekowana przez Confickera w Polsce i na świecie?

Liczba infekcji tego rodzaju nie jest aż tak znacząca. Zagrożenie nie plasuje się nawet w pierwszej dziesiątce złośliwych programów, jeżeli chodzi o współczynnik infekcji. Ostatnio bezpłatny skaner on-line Panda ActiveScan zarejestrował między 100 a 150 infekcji dziennie, a to bardzo niewielka liczba.