Conficker, internettets nr. 1 trussel, får en oppdatering

Sikkerhetsforskere sier at en orm som har smittet millioner av datamaskiner over hele verden, har blitt omprogrammert for å styrke forsvaret, samtidig som de prøver å angripe flere maskiner.

Conficker, som benytter seg av et sårbarhet i Microsofts programvare, har infisert minst 3 millioner PCer og muligens så mange som 12 millioner, noe som gjør det til et stort botnet og en av de mest alvorlige datasikkerhetsproblemene de siste årene.

Botnets kan brukes til å sende spam og angripe andre nettsteder, men de må kunne motta nye instruksjoner. Conficker kan gjøre disse to måtene: Det kan enten prøve å besøke et nettsted og hente instruksjoner eller det kan motta en fil over sitt spesialbygde krypterte P-to-P (Peer-to-Peer) -nettverket.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Forskere med Websense og Trend Micro sa i løpet av den siste dagen at noen PCer som er smittet med Conficker, mottok en binær fil over P-to-P. Conficker's kontrollører har blitt hindret av sikkerhetssamfunnets innsats for å få veibeskrivelse via et nettsted, slik at de nå bruker P-to-P-funksjonen, sier Rik Ferguson, senior sikkerhetsrådgiver for leverandøren Trend Micro.

Den nye binær forteller Conficker å begynne å skanne for andre datamaskiner som ikke har latt Microsofts sikkerhetsproblem, sa Ferguson. En tidligere oppdatering slått den muligheten bort, noe som antydet at Conficker-kontrollerne kanskje trodde at botnetet hadde vokst for stort.

Men nå, "betyr det absolutt at de [Conficker's forfattere] søker å kontrollere flere maskiner," sa Ferguson. > Den nye oppdateringen forteller også Conficker å kontakte MySpace.com, MSN.com, Ebay.com, CNN.com og AOL.com for å bekrefte at den infiserte maskinen er koblet til Internett, sa Ferguson. Det blokkerer også infiserte PCer fra å besøke enkelte nettsteder. Tidligere Conficker-versjoner ville ikke la folk bla gjennom nettsidene til sikkerhetsselskaper.

I en annen vri synes det binære å være programmert for å slutte å løpe 3. mai, som vil slå av de nye funksjonene, sa han. > Det er ikke første gang Conficker er kodet med tidsbaserte instruksjoner. Datasikkerhetseksperter ble bracing for katastrofe 1. april, da Conficker var planlagt å prøve å besøke 500 av noen 50.000 tilfeldige nettsteder generert av en intern algoritme for å få nye instruksjoner, men dagen gikk uten hendelser.

Også bekymringsfull er at den nye oppdateringen forteller Conficker å kontakte et domene som er kjent for å være tilknyttet en annen botnet kalt Waledec, sa Ferguson. Waledec botnet vokste på en måte som lignet Storm ormen, en annen stor botnet som nå har bleknet, men ble brukt til å sende spam. Det betyr at kanskje den samme gruppen kunne knyttes til alle tre botnets, sier Ferguson. Selv om Conficker ikke ser ut til å ha blitt brukt ennå for ondsinnede formål, er det fortsatt en trussel, sa Carl Leonard, en trusselforskning leder for Websense i Europa. P-til-P-funksjonaliteten indikerer et nivå av raffinement, sa han.

"Det er tydelig at de har lagt mye arbeid på å samle denne pakken med maskiner," sa Leonard. "De vil beskytte sitt miljø og lansere disse oppdateringene på en måte som de best kan kapitalisere på dem."

Ikke alle datamaskiner som er smittet med Conficker, vil nødvendigvis bli oppdatert raskt. For å bruke P-to-P-oppdateringsfunksjonaliteten, må en Conficker-infisert PC søke etter andre infiserte PCer, en prosess som ikke er umiddelbar, Ferguson.

Gitt at sikkerhetseksperter er svært forskjellige over hvor mange datamaskiner som kan bli infisert med Conficker, det er vanskelig å si hvilken prosentandel som har den nye oppdateringen.

Trend Micro og Websense ba begge om at deres funn er foreløpige, da den binære oppdateringen fortsatt blir analysert.

Selv om Microsoft utstedte en nødprogramvare i oktober i fjor, ble Conficker har fortsatt å benytte seg av de PCene som ikke er patched. Faktisk vil noen varianter av Conficker faktisk lappe sårbarheten etter at maskinen er smittet, slik at ingen annen malware kan dra nytte av det.