Million-dusør i kampen mot «Conficker»

Microsoft og Symantec går sammen for å knekke verstingormen.

13. feb. 2009 - 11:05

Conficker, også kjent som Downadup og Kildo, betraktes som den verste internettormen siden Sasser i 2004. Den spres gjennom en Windows-sårbarhet som Microsoft for lengst har tettet (MS08-067 fra oktober 2008).

Den bruker en avansert mekanisme for å sikre sin egen kontinuerlige oppdatering, og greier å avverge alle forsøk på å spre effektiv motgift.

20. januar anslo antivirusleverandørene at til sammen ni millioner pc-er og servere var smittet. I går meldte Symantec at de i løpet av de siste fem dagene har observert gjennomsnittlig 453 436 nye IP-adresser med varianten Downadup.A, og 1 745 231 nye adresser med Downadup.B. Det skulle innebære at smittespredningen er kraftig akselerert, og at flere titallsmillioner datamaskiner har denne ormen.

Symantec sier det nå er dannet en bred allianse av virusjegere som skal sørge for å stanse selve oppdateringsmekanismen til Conficker.

Med i denne alliansen, foruten Symantec selv, er Microsoft, ICANN, Neustar, Verisign, CNNIC, Afilias, Public Internet Registry, Global Domains International, M1D Global, AOL, F-Secure, ISC, forskere fra universitetet Georgia Tech, stiftelsen Shadowserver Foundation, Arbor Networks og Support Intelligence.

Når den er installert på en maskin, sjekker ormen 250 forskjellige domenenavn hver dag for å laste ned nye instrukser. Nye lister over slike domener er den del av den daglige oppdateringen: Ormen har en egen mekanisme som genererer tilfeldige domenenavn som automatisk registreres hos ulike registrarer.

Symantec sier at alliansens eksperter har greid å avsløre hvordan denne domenenavngeneratoren fungerer. Planen er nå å sørge for at de selv kan registrere de samme domenenavnene, før Conficker-opphavet rekker å gjøre det. Får de det til, vil ormen lures til å laste ned motgift i stedet for oppdateringen fra ormens opphav.

Ekspertene tror at dette vil tvinge ormen til utelukkende å stole på en langt svakere oppdateringsmekanisme som de også har håp om å knekke, eller i det minste begrense skadevirkningene av.

Conficker kan også spre seg gjennom mobile lagringsenheter.

To forholdsregler verner mot ormen: At man retter seg etter Microsofts automatisk sikkerhetsoppdateringer, og sørger for å ha oppdatert antivirus. Informasjon om hvordan avsløre at en pc er smittet, og om hvordan man skal kvitte seg med ormen, er lagt ut på Microsofts sikkerhetssider.

Alliansen appellerer også til dem som vet noe om hvem som står bak Conficker, at de kommer med tips. Microsoft lover en dusør på 250 000 for informasjon som kan føre til at de ansvarlige blir avslørt og stilt for retten.

Det advares at smittede pc-er og servere kan fjernstyres for å utøve all tenkelig fandenskap, som spam, smitteforsøk, datainnbrudd, tjenestenektangrep og så videre.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.