Conficker Zero Hour Ankommer Uten Begivenhet - Likevel

En forventet aktivering av Conficker.c-ormen ved midnatt 1. april gikk uten uhell, til tross for sensasjonell frykt for at Internettet kunne bli påvirket, men sikkerhetsforskere sa at brukerne ikke er ute av skogen ennå.

"Disse gutta har ingen design, tror jeg, på å ta ned infrastrukturen, fordi det ville skille dem fra sine ofre, sier Paul Ferguson, en trusselforsker ved antivirusleverandøren Trend Micro, som kaller teknologien og designen til Conficker.c som "ganske mye state of the art. "

" De vil holde infrastrukturen oppe og på plass for å gjøre det mye vanskeligere for gode menn å motvirke og dempe hva de har orkestrert, "sa han.

[Videre lesing: Hvordan å fjerne skadelig programvare fra din Windows-PC]

Worm Stirs

Conficker.c ble programmert til å etablere en kobling fra infiserte vertsdatamaskiner med kommando- og kontrollservere ved midnatt GMT 1. april. For å nå disse kontrollserverne genererer Conficker.c en liste over 50 000 domenenavn og velger deretter 500 domene Navn å kontakte. Den prosessen har startet, sa forskere.

Nøyaktig hvor mange datamaskiner er infisert med Conficker.c er det ennå ikke kjent, men det estimerte antallet systemer infisert av alle varianter av Conficker-ormen overstiger 10 millioner, noe som gjør dette til en av de største

Mens infiserte datamaskiner har begynt å nå ut for å kommandere servere som forventet, har det ikke skjedd noe uoverkommelig.

"Vi har observert at Conficker nå ut, men så langt ingen av serverne de prøver å nå serverer noe nytt skadelig programvare eller nye kommandoer, sier Toralv Dirro, en sikkerhetsstrateg ved McAfee Avert Labs, i Tyskland.

Dette kan bare bety at de som kontrollerer Conficker, bider sin tid og venter på at forskere og IT-ledere skal slapp av vaktet og antar det verste er over. "Det ville være ganske dumt for gutta som kjører Conficker til å bruke den første mulige muligheten, når alle er veldig glade for det og ser på det veldig nøye," sa Dirro. "Hvis noe skulle skje, ville det trolig skje om et par dager."

Deteksjoner, innokulasjoner Øke

Tiden er ikke på Conficker side. Ormen kan lett oppdages og fjernes av brukerne. For eksempel, hvis en PC ikke kan nå nettsteder som McAfee.com, Microsoft.com eller Trendmicro.com som er en indikasjon på at datamaskinen kan være infisert.

I tillegg kan IT-ledere enkelt oppdage trafikk som kommer fra merkelige domenenavn og blokkere tilgang til datamaskinene på deres firmanettverk. «De lengre kriminelle venter, de mindre infiserte vertene de har,» sa Dirro.

Ekstra hjelp kommer fra en løs koalisjon av sikkerhetsleverandører og andre som heter Conficker Working Group, som har banded sammen for å blokkere tilgangen til domener som Conficker prøver å kommunisere med. Men det er ikke umiddelbart klart om disse anstrengelsene som har lykkes med å blokkere tidligere versjoner av ormen, vil være effektive mot aktiveringen av Conficker.c.

"Vi kan egentlig ikke si hvor vellykkede forsøkene er å blokkere dem eller ikke ruting dem er, "Dirro sa. "Det er noe vi vil se når det første domenet faktisk begynner å vise malware, hvis minst en begynner å gjøre det."

Til tross for den uventede overføringen av aktiveringsfristen, er trusselen presentert av Conficker fortsatt ekte. gutta er veldig sofistikerte, veldig profesjonelle, veldig faste og veldig målte på hvordan de implementerer og gjør endringer i ting, sier Ferguson og legger til at Conficker.c er bedre forsvunnet og mer overlevende enn tidligere versjoner av ormen. "Denne aktiveringen 1. april var sannsynligvis bare vilkårlig og plukket for å forårsake hysteri."

På et tidspunkt kunne folkene bak Conficker.c prøve å generere inntekter fra botnet de har opprettet, eller de kunne ha andre intensjoner.

"Det store mysteriet er at det er denne store lastede pistolen der ute, dette nettverket av millioner av maskiner som er under kontroll av ukjente personer," sa Ferguson. "De har ikke gitt noen indikasjon på hva deres motiver er annet enn å leke med folk."