Conficker Awakens, begynner å svindle

Conficker-ormen er tilbake i handling og stumping sikkerhetseksperter igjen. En av de mest smarte designene av malware har nylig fått en oppdatering og begynner endelig å oppføre seg som andre ormer. Her er hva som skjer:

Nye marsordrer

På onsdag begynte 8. april sikkerhetsfirmaer å se noen varianter av Conficker C, den nyeste Conficker-smaken, mottar oppdateringer gjennom sin krypterte fildeling (P2P) fildeling funksjonalitet. Security Firm Trend Micro rapporterer at de nye Conficker-instruksjonene kom fra en server i Korea, og den nye filen ble opprettet 7. april 2009 kl 07:41:21. Den nye oppdateringen styrket Conficker-forsvaret og de nye Conficker-funksjonene avsluttes 3. mai 2009.

Frem til 3. mai vil den oppdaterte Conficker søke på Internett for uinfiserte Windows-maskiner som ikke har installert sikkerhetsoppdateringen Microsoft MS08-67. Denne søke-og-infisere funksjonaliteten ble slått av i tidligere Conficker-varianter, antagelig å kontrollere størrelsen på et fremtidig botnet. Det ser imidlertid ut til at Confickers forfattere har omtalt den strategien, og ser ut til å vokse deres skaper igjen. Noen Conficker-varianter er også programmert for å infisere en ikke-oppdatert datamaskin, og når Conficker er i maskinen, slår ormen opp svakheten for å holde ut andre typer malware som utnytter det samme sikkerhetsproblemet.

[Videre lesing: Hvordan fjerne skadelig programvare fra din Windows-PC]

Når Conficker infiserer en ny maskin eller får oppdateringen, forsøker den å koble til MySpace.com, MSN.com, Ebay.com, CNN.com og AOL.com for å verifisere at datamaskinen er koblet til Internett.

Conficker første svindel avslørt

Den nye Conficker har også begynt å vise tegn på tradisjonell malware. Ved hjelp av et av de eldste triksene i boken, kalt scareware, laster den nye Conficker C ned et falskt antivirusprogram som heter Spyware Protect 2009 (bildet). F-Secure sier at den kalles Spyware Guard 2008. Det falske programmet leverer deretter en popup-melding som forteller deg at datamaskinen er infisert, men for bare $ 49,95 kan det falske antivirusprogrammet fjerne malware. Du blir deretter ledet til et falskt nettsted hvor du uforvarende oppgir all kredittkortinformasjon, og deretter kriminelle ler hele vei til banken - banken din, det er. Scareware-svindelen ser ut til å komme fra en server i Ukraina, ifølge Washington Post.

Conficker: Spambot i forkledning?

Conficker, som er et vanskelig lite program, synes å være koblet på en eller annen måte til Waledac-ormen - og Waledac selv regnes som en oppdatering av Stormorm. Det er ingen konsensus om hva Conficker egentlig gjør, men ifølge sikkerhetsfirmaet F-Secure går Conficker til et domene som er kjent for å være assosiert med Waledac og faktisk laster ned Waledac-ormen. Trend Micro, i mellomtiden, sier at Conficker laster ned noen kode fra Waledac-domenet, men sikkerhetsfirmaet vil gjøre ytterligere studier før de bekrefter en Conficker-Waledac-tilkobling. Trend Micro antyder imidlertid at Conficker kan bli klar til å jobbe som en stor spamming botnet, en kjent funksjon av Waledac-ormen.

Conficker: Mer enn øyet

Tilsynelatende har den nye Conficker flere triks den ermet som forskerne har ennå ikke avdekket. Mens sikkerhetsgrupper forsøker å avdekke alle Conficker nyeste triks og tweaks, vet de at Conficker er våken, og ormenes forfattere begynner å bruke Conficker-infiserte maskiner for å tjene penger. Hvor langt dette vil gå, er ukjent for øyeblikket.

Hvor går vi herfra?

Som sikkerhetsforskere begynner å løse mysteriene rundt den siste versjonen av Conficker, kan du beskytte deg mot ormen ved først testing ditt infeksjonssystem og deretter ved å sørge for at du har de nyeste Microsoft-sikkerhetsoppdateringene, og at antivirusprogrammet ditt er oppdatert. Conficker Working Group har en enkel test for å se om du er smittet med Conficker.