További Biztonság cikkek
Április elsején 0 órakor aktiválták magukat a Conficker féreggel fertőzött számítógépek az interneten, és elkezdték keresni a kapcsolatot a zombihálózatot vezérlő szerverrel.
Mivel az ezredforduló és az Y2K-pánik óta egyetlen vírus sem kapott ekkora hírverést, most a világ összes biztonságtechnikai szakembere a Confickert figyeli, de azt továbbra sem tudja senki, mire készül a vírus írója. Az sem derült még ki (a Microsoft negyedmillió dolláros nyomravezetői díja ellenére), hogy honnan származhat a vírus, a legutóbbi hírek kínai eredetről szólnak, bár több bizonyíték emögött sincs, mint a korábbi, orosz származásról szóló pletykák mögött.
Felébredt
"Észleltük, hogy a Conficker aktivizálódott, de egyelőre úgy tűnik, nem sikerült kapcsolatot találnia a központi szerverrel" - mondta Toralv Dirro, a McAfee vírusirtó cég vezetője az Infoworldnek az eddigi eseményekről. A Conficker féreggel fertőzött gépek számát az interneten 10-15 millió közé becsülik a szakértők. Maga a féreg különleges, egy rég befoltozott biztonsági rést használ ki a Windowsban, így igazából csak olyan gépeken és hálózatokon tud hatékonyan fertőzni, ahol nagyon elhanyagolják a biztonsági szoftvereket és frissítéseket.
A veszélye egyrészt abban rejlik, hogy nagyon agresszívan terjed (a hagyományos módszer mellett adathordozókra is felmásolja magát, és helyi hálózatokon megpróbálja feltörni a gépek adminisztrátor-jelszavait), másrészt a fertőzött gépekből álló botnet belső kommunikációja, irányítása roppant kifinomult. A Conficker a maga nemében igazi műremek, ismerte el a Trend Micro antivíruscég egyik szakértője, Paul Ferguson.
Sárkány ellen sárkányfű
Ha a zombihálózat nem tud összekapcsolódni az irányítójával, az két szervezetnek lesz köszönhető: a Conficker Cabal, illetve a Conficker Working Group egyaránt biztonsági cégek által alapított csoport, akik a vírus ellen küzdenek. A Conficker legutóbbi frissítésével megváltoztatta a saját vezérlését: egy algoritmussal 50 ezer doménnevet generál, majd ezekből kiválaszt ötszázat, és megpróbál összekapcsolódni a címen levő szerverrel. A vírus gazdájának elég egy címet bejegyeztetni magának ezek közül, és a vírus előbb-utóbb megtalálja.
A Conficker-ellenes szervezetek doménregisztrátor cégeknél lobbiznak, hogy ezeket a címeket tegyék tiltólistára, és senkinek nem adják ki. Ezzel a módszerrel valószínűleg csak késleltetni tudják a zombihálózat felébredését, megakadályozni nem, de addig is terjed a Conficker-veszély híre - márpedig a legutóbbi szuperbotnet, a Storm halálát is a nyilvánosság okozta.
Jobb félni
A szakértők szerint a botnet gazdájának valószínűleg nem az internet romba döntése a célja (bár elvileg óriási káoszt okozhatna a neten, ha direkt erre játszik), hanem a pénzszerzés, és a hálózatának kisebb-nagyobb részeit spamterjesztésre és túlterheléses támadásokra fogja bérbe adni az online feketepiacon.
Mivel a Conficker körül óriási a hírverés, a fertőzést észrevenni (ha például nem tudjuk elérni a mcafee.com, microsoft.com, vagy trendmicro.com oldalakat, az gyanús jel), és a kártevőt eltávolítani pedig roppant egyszerű (például az innen letölthető ingyenes programmal), a fertőzött gépek száma valószínűleg csökkenni fog. A botnet gazdája tehát választhat, hogy minél hamarabb akcióba lép, vagy vár, és akkor megfogyatkozik a zombisereg létszáma, de a világ rendszergazdáinak figyelme is lanyhul.
Kövesse az Indexet Facebookon is!
Követem!
