Conficker Group sier Worm 4.6 Million Strong

Sikkerhetseksperter sier at Conficker-ormen har smittet en forferdelig masse datamaskiner, noe som gjør den til det største "botnet" av hackede datamaskiner på planeten. Det som de ikke ser ut til å være enige om, er imidlertid nøyaktig hvor mange som har blitt rammet.

Forskergruppen som har fulgt mest etter - og sliter - har ormen nå gitt sitt eget estimat av Conficker størrelse. Ifølge dataene som er utarbeidet av Conficker Working Group, har Conficker blitt spottet på bare under 4,6 millioner unike IP-adresser. Dens tidligere A- og B-varianter står for løvenes andel av det - 3,4 millioner IP-adresser - med den nyere C-varianten oppdaget på 1,2 millioner adresser.

De landene som måler det største antallet infeksjoner for alle varianter, er Kina, Brasil og Russland.

Conficker har smittet Windows-maskiner siden oktober, men i de siste ukene har det fått mye oppmerksomhet som en nyere versjon av ormen, Conficker.C, har oppdatert måten det ser etter instruksjoner, noe som gjør det mye vanskeligere å stoppe.

I løpet av den siste helgen smittet Conficker nesten 800 PCer ved University of Utah's Health Sciences Center. IT-ansatte der tror det kan ha kommet på nettverket via en infisert tommelstasjon. Når en gang er installert på en PC, er Conficker svært effektiv på å søke etter andre upakkete Windows-maskiner for å spre.

Brukere som lurer på om de er smittet av ormen, kan prøve denne enkle testen utviklet av SecureWorks.

Studier gjort to uker siden av OpenDNS og IBMs Internet Security Systems-gruppe hadde antydet at så mange som 4 prosent av PCer kan ha blitt rammet med Conficker-ormen, men arbeidsgruppens analyse tyder på at tallet sannsynligvis er mye lavere.

"Vi håper at publisering av disse tallene vil kaste litt realitet inn i ligningen, sier Andre DiMino, medstifter av The Shadowserver Foundation og et medlem av Arbeidsgruppen. Han tror ikke at 4 prosent av PCene ble smittet. "Det er vanskelig å gjøre saken for det akkurat nå," sa han.

Men det faktiske antall infeksjoner kunne være høyere eller lavere enn 4,6 millioner, innrømmet DiMino. Fordi arbeidsgruppens metode teller IP-adresser, kan de ha overregnede forbrukere som logger på fra flere IP-adresser eller underkorporerte infeksjoner, som ofte er skjult bak en enkelt IP-adresse.

OpenDNS, IBM og arbeidsgruppen alle brukte forskjellige teknikker for å komme til sine estimater, men de stoler alle på at infiserte maskiner må sjekke inn med en "kommando- og kontroll" -server for instruksjoner. Arbeidsgruppen fikk sine data ved å sette opp "sinkhole" -servere på steder på Internett som brukes av infiserte maskiner for å laste ned instruksjoner. De gjorde dette ved å ta over Internett-domenene som Conficker er programmert til å besøke for å lete etter disse instruksjonene.

Antall infeksjoner målt av arbeidsgruppen er i tråd med estimatene av tidligere varianter av ormen, sa DiMino. "Ikke alle As og Bs har blitt forvandlet til Cs," sa han.

For å komplisere saker ytterligere, ble en ny variant av Conficker oppdaget i forrige uke, og denne kommuniserer først og fremst ved hjelp av peer-to-peer-teknikker som blir ikke lett målt av arbeidsgruppens sinkhole-servere. Dette betyr at gruppen vil sannsynligvis trenge å utvikle en ny måte å telle infeksjoner på når peer-to-peer-varianten sprer seg, sier DiMino.

Selv om arbeidsgruppens data ved første øyekast er ganske forskjellig fra IBMs resultater er ikke en overraskelse, ifølge Holly Stewart, en trusselsjef med IBMs Internet Security Systems (ISS). Det er "veldig vanskelig" for å få en løsning på størrelsen på botnet, sa hun. "Jeg tror ikke at noen har et perfekt svar," sa hun. "De har ett datapunkt, og vi har et annet datapunkt."

"Hvis du spør meg hva det sanne tallet er," la hun til, "vi vet ikke."