Trend Micro ostrzega – robak Conficker powraca w kolejnej odsłonie

przez | 27/03/2009

Conficker, najgroźniejszy robak 2009 roku, powraca. Obserwatorzy branży zastanawiają się, co się stanie, gdy jego najnowsza odmiana zacznie kontaktować się ze swoimi mocodawcami.

Odsłona pierwsza

Robak Downad/Conficker pojawił się w listopadzie 2008 r. Pierwszy wariant robaka był zdecydowanie najprostszy. Rozprzestrzeniał się wykorzystując lukę w zabezpieczeniach (MS08-67), która została usunięta przez Microsoft jeszcze w październiku 2008 r.

Robak unikał infekowania systemów, które były skonfigurowane z ukraińskim układem klawiatury lub miały adresy IP zarejestrowane na Ukrainie (co może wskazywać na jego pochodzenie). Po zainfekowaniu komputera, robak najpierw generował losowo adresy IP i wykorzystywał je do wyszukiwania kolejnych ofiar, a następnie próbował jednorazowo pobrać fałszywy program antywirusowy (scareware). Od tej chwili generował codziennie listę 250 pseudolosowych nazw domen, wykorzystując rozszerzenia z najwyższego poziomu (.com, .net, .org, .info, i .biz) i próbował łączyć się z tymi serwerami, aby pobrać dalsze szkodliwe treści.

Odsłona druga

W styczniu 2009 r. pojawiła się druga odmiana robaka Downad/Conficker, która była w znacznym stopniu podobna do pierwszego, jednakże robak nie omijał już systemów ukraińskich i nie próbował pobierać programu scareware. Ponadto wykorzystywał kilka dodatkowych mechanizmów rozprzestrzeniania się. Oprócz wykorzystywania wspomnianej luki Microsoftu, rozprzestrzeniał się także zapisując się na wszystkich podłączonych do zainfekowanego systemu dyskach wymiennych i współużytkowanych dyskach sieciowych, a ponadto wyszukiwał w tej samej sieci komputery, na które przypuszczał atak siłowy za pomocą listy 250 najczęściej używanych haseł. Drugi wariat próbował także wyłączać wiele znanych programów antywirusowych i blokować dostęp do serwisów internetowych związanych z bezpieczeństwem oraz wyłączał usługi zabezpieczające o kluczowym znaczeniu, takie jak Windows Automatic Update. Te dodatkowe sposoby rozprzestrzeniania się umożliwiły robakowi zainfekowanie dużej liczby komputerów.

Drugi wariant również generuje codziennie listę 250 nazw domen, z którymi próbuje się łączyć, ale wykorzystuje więcej rozszerzeń z najwyższego poziomu (oprócz .com, .net, .org, .info, i .biz dodatkowo .ws, .wn i .cc). Nazwy generowane przez te dwie wersje nie pokrywają się.

Odsłona trzecia

W marcu 2009 r. pojawił się trzeci groźny wariant robaka Downad/Conficker. Wygląda na to, że nowa wersja rozprzestrzenia się przez aktualizację komputerów zainfekowanych wcześniej drugim wariantem. Nowa odmiana generuje codziennie listę 50 000 nazw domen internetowych (poprzednio było ich 250) oraz używa 110 różnych typów domen (poprzednio było ich 5 lub 8). Tylko 500 z wygenerowanych domen jest „wywoływanych” i tylko raz dziennie. Duża liczba nadmiarowych nazw domen ma na celu zablokowanie mechanizmów używanych dotychczas do zwalczania robaka.

To właśnie ten mechanizm ma się uruchomić 1 kwietnia.

Oprócz tej infrastruktury poleceń i kontroli, opartej na języku HTTP, nowy wariant wprowadził także możliwość komunikacji równorzędnej (Peer to Peer) między zainfekowanymi systemami. Prawdopodobnie jest to odpowiedź na próby zamknięcia mechanizmu połączeń HTTP, podejmowane przez internetową branżę zabezpieczeń.

W trzecim wariancie zrezygnowano z metod rozpowszechniania się stosowanych w wariantach pierwszym i drugim, zastępując je bardziej defensywnymi sposobami infekcji. Być może cyberprzestępcy uznali, że zainfekowali już wystarczającą liczbę komputerów, które zamierzają przekształcić w jeden prosty botnet, służący do dystrybucji szkodliwego kodu według swego uznania. Trzeba jednak brać pod uwagę, że funkcje propagacji mogą być bardzo łatwo ponownie włączone.