Bertalan
10 °C
28 °C

Április elsején sújt le a Conficker az internetre

2009.03.30. 06:45 Módosítva: 2009-03-30 06:45:35
Tavaly őszi első megjelenése óta becslések szerint 12 millió pécét fertőzött meg az interneten a Conficker féregvírus, amit a szakértők az utóbbi évek legagresszívabb kártevőjének tartanak.

A vírus forráskódjának visszafejtéséből kiderült, hogy a megfertőzött gépek hálózata április elsején lép működésbe, és kezdi keresni a kapcsolatot a vírus írójával, hogy aztán végrehajtsa az utasításait. Az antivírus szakemberek csak tippelni tudnak, mi fog történni, ha zombihálózat megmozdul, de abban egyetértenek, hogy a Conficker sem fog globális összeomlást okozni a neten, annak ellenére, hogy a puszta ereje meglenne hozzá.

A féreg karrierje nem éppen szokványos: az első verzió 2008. novemberében jelent meg, és nem volt különösebben sikeres. Egy olyan Windows szerver biztonsági rést használt ki a terjedéshez és fertőzéshez, ami már akkor is egy hónapja ismert volt, és létezett rá javítócsomag. Ahogy az lenni szokott, pár napon belül bekerült az antivírus szoftverek adatbázisaiba, és hamar el is tűnt a süllyesztőben.

Aztán decemberben jött a Conficker.B variáns, ami még mindig ugyanazt a biztonsági hibát használta ki, de borzasztó agresszívvé vált a terjedési mechanizmusa. USB portra dugott memóriakártyákon, helyi hálózatokon az egyes gépek jelszavainak megfejtésével terjedt a szokásos netes fertőzésen felül, így olyan gépekre is villámgyorsan vissza tudott kerülni, ahonnan egyszer már leszedték. Januárban volt olyan időszak, amikor napi egymillióra becsülték a szakértők az új fertőzött gépek számát a neten. Az ESET vírusirtó statisztikái szerint a felhasználói 3-4 százalékát támadja meg hetente a Conficker.

A harmadik verzió nemrég bukkant fel: ez már nem új gépekre vadászik, hanem tulajdonképpen egy frissítés a már megfertőzötteknek. A vírusirtók dolgát nehezíti meg, illetve előkészíti a rendszert az április elsejei indulásra. A vírus ekkor egy algoritmussal 50 ezer doménnevet generál, majd mindegyikhez megpróbál kapcsolódni, hogy onnan parancsokat fogadjon el. A vírus gazdájának elég egyetlen nevet bejegyeztetni az ötvenezerből, rákötni egy szervergépet, és minden idők egyik legfélelmetesebb zombihálózatának parancsolhat. Ráadásul arra sincs sok remény, hogy vírusirtókkal és biztonsági javítócsomagokkal sokkal kisebbre faragják a botnet méretét, a fertőzött gépek nagy része ugyanis kalóz Windowst és védelmi szoftvereket futtat, ahová nem érnek el az automatikus frissítések.

Jó kérdés, hogy vajon mihez fog kezdeni a Conficker írója a zombihálózattal, ha sikerül átvennie az irányítást. Tízmilliós nagyságrendű gép valószínűleg elég ahhoz, hogy egy túlterheléses támadással gyakorlatilag bármilyen szervert kiüssön az interneten, beleértve kormányzati oldalakat, bankokat, Google-t, Microsoftot, de akár a netes forgalmat irányító DNS szervereket is. A szakemberek szerint ez a forgatókönyv nem valószínű, a vírus íróját valószínűleg a pénz mozgatja, és ilyen nagyságrendű akcióra aligha találna megrendelőt. Másrészt egyetlen támadás megmutatná az egész hálózatot, egyszerűen le lehetne tiltani a fertőzött gépeket az internetszolgáltatóknál, és a zombihálózat elveszítené a legnagyobb erejét, azt hogy megfoghatatlan, senki nem tudja pontosan, hol vannak a fertőzött gépek.

Valószínűbb, hogy a vírus írója kisebb támadásokra, spamterjesztésre és hasonlókra fogja bérbeadni a hálózat kisebb részeit, vagy (ez a University of California szakértőjétől, Stefan Savage-től származó Sötét Google teória) áruba bocsátja a megfertőzött gépeken található személyes információkat, jelszavakat, számlaszámokat. A Conficker mögött álló programozóra egyébként egy hónapja negyedmillió dolláros vérdíjat tűzött ki a Microsoft, de máig nem sikerült a nyomára bukkanni.

A vírusirtó cégek mindenesetre a visszafejtett névgeneráló algoritmus alapján nagyüzemben jegyeztetik be a vezérlő szerver potenciális címeit, de ezzel a technikával valószínűleg csak késleltetni tudják a hálózat felébredését, megakadályozni nem.