Conficker w odwrocie?

02-04-2009, 23:36

Zgodnie z przewidywaniami specjalistów 1 kwietnia najnowszy wariant Confickera rozpoczął nawiązywanie połączeń z licznymi stronami w poszukiwaniu instrukcji dalszego działania. Wbrew alarmistycznym zapowiedziom mediów nie doprowadziło to do zakłóceń w infrastrukturze internetu. Robak bezsprzecznie jednak przoduje w rankingach najpopularniejszych marcowych wirusów.

Szkodliwe programy występujące najczęściej na komputerach użytkowników, marzec 2009
fot. Kaspersky Lab - Szkodliwe programy występujące najczęściej na komputerach użytkowników, marzec 2009
W zestawieniu szkodliwych programów występujących najczęściej na komputerach użytkowników, które przygotował Kaspersky Lab, pierwsze miejsce zajmuje Net-Worm.Win32.Kido.ih, szerzej znany właśnie jako Conficker czy też Downadup. Jednak najnowsza wersja tego szkodnika (Trojan-Downloader.Win32.Kido.a) najprawdopodobniej nie zaklasyfikuje się do czołówki w następnych miesiącach, bo w przeciwieństwie do wcześniejszych odmian nie potrafi samodzielnie rozprzestrzeniać się w sieci.

Najwyżej uplasowaną nowością jest Trojan-Dropper.Win32.Flystud.ko, który od razu wskoczył na dziewiąte miejsce rankingu. Szkodnik ten jest typowym trojanem, który na komputerze ofiary ukradkiem instaluje inne złośliwe oprogramowanie. Został stworzony w języku skryptowym FlyStudio, który wraz z AutoIt jest jednym z najpopularniejszych języków wśród twórców szkodliwych aplikacji. Zarówno FlyStudio, jak i programy napisane w tym języku, pochodzą z Chin.

Podział najpopularniejszych szkodliwych programów na kategorie, marzec 2009
fot. Kaspersky Lab - Podział najpopularniejszych szkodliwych programów na kategorie, marzec 2009
Wszystkie szkodniki obecne w zestawieniu można pogrupować według głównych klas wykrywanych zagrożeń. Od trzech miesięcy udział tych klas prawie się nie zmienia. Stosunkowo wysoka pozostaje liczba samodzielnie rozprzestrzeniających się programów. W sumie w marcu na komputerach użytkowników zostało wykrytych 45.857 unikatowych wirusów. Liczba ta jest prawie taka sama, jak w zeszłym miesiącu.

Szkodliwe programy występujące najczęściej wśród wszystkich wykrytych zainfekowanych obiektów, marzec 2009
fot. Kaspersky Lab - Szkodliwe programy występujące najczęściej wśród wszystkich wykrytych zainfekowanych obiektów, marzec 2009
Drugi ranking, przygotowany przez Kaspersky Lab, dotyczy szkodliwych programów, które najczęściej infekowały obiekty wykrywane na komputerach użytkowników. Wcześniejszy wariant Confickera (oznaczony jako Net-Worm.Win32.Kido.ih) zostawił ślad również w tym zestawieniu, całkiem nieźle sobie radząc wśród samodzielnie rozprzestrzeniających się złośliwych kodów. Powodem tego może być fakt, że dotychczas wielu użytkowników Windowsa nie zainstalowało niezbędnych aktualizacji bezpieczeństwa.

Conficker był najczęściej atakującym zagrożeniem ubiegłego miesiąca również według analityków firmy ESET. Mimo że 1 kwietnia robak nie został użyty do żadnej spektakularnej akcji, miliony maszyn na całym świecie nadal pozostają pod jego wpływem. Stworzona przez Confickera sieć komputerów-zombie prędzej czy później zostanie prawdopodobnie wykorzystana przez twórców robaka do masowego rozsyłania spamu - przekonuje ESET. O innych sposobach wykorzystania botnetu pisaliśmy w Dzienniku Internautów tydzień temu.

Najczęściej atakujące zagrożenia, marzec 2009
fot. ESET - Najczęściej atakujące zagrożenia, marzec 2009
Spośród pozostałych zagrożeń atakujących w marcu br. warto wymienić rodzinę złośliwych aplikacji ukrywających się w plikach autostartu różnego typu nośników, infekujących m.in. za pośrednictwem pamięci przenośnych USB (Panda Security udostępniła właśnie darmową szczepionkę, która może pomóc w uporaniu się z tym problemem).

Na uwagę zasługuje też rodzina koni trojańskich Win32/PSW.OnLineGames, wykradająca loginy oraz hasła graczy sieciowych MMORPG. W pierwszej dziesiątce zagrożeń znalazł się również WMA/TrojanDownloader.GetCodec.Gen, który po przedostaniu się na komputer swojej ofiary modyfikuje wszystkie pliki audio tak, aby próba ich otwarcia kończyła się wyświetleniem komunikatu o braku kodeka niezbędnego do odtworzenia danego utworu. Zgoda na pobranie kodeka skutkuje infekcją.

Dziennik Internautów nie omieszkał sprawdzić doniesień na temat Confickera opublikowanych także przez innych dostawców rozwiązań antywirusowych. Wniosek jest jeden: prima aprilis nie wywołał nowej fali rozprzestrzeniania się robaka. Specjaliści z F-Secure uważają, że jego autorzy do dziś nie rozmieścili na stronach WWW żadnych aktualizacji.

Eksperci z McAfee Avert Labs podkreślają, że szkodnik, ulokowany na którejkolwiek z zarażonych maszyn, potrafi nawiązywać kontakt z pozostałymi komputerami-zombie i mógłby pobrać aktualizacje przez funkcję peer-to-peer. Na razie nie odnotowano jednak pod tym względem nic szczególnego.

Na uwagę zasługuje obszerny raport przygotowany przez CERT Polska - zespół monitoruje pewną ilość domen, z którymi łączą się zarażone komputery. Analizy wykazują, że w Polsce jest stosunkowo niewiele maszyn przejętych przez robaka. Połączenia z terytorium naszego kraju stanowią zaledwie 1% (dla porównania - na Chiny przypada ponad 20% połączeń, na zajmującą drugie miejsce Rosję ok. 13%).

- Jeżeli obecny trend będzie się utrzymywał, to raczej nie ma zagrożenia (...) niezamierzonego "zalania" połączeniami istniejących i działających produkcyjnie witryn o nazwach domenowych pokrywających się z tymi wytworzonymi przez confickerowy Algorytm generujący Domeny - stwierdzają autorzy raportu, zastrzegając jednak, że na ostateczne wnioski trzeba jeszcze poczekać.


Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy