Konrád
5 °C
17 °C

Napi egymillió pécét fertőz meg a Downadup féreg

2009.01.16. 15:25
Pár napja számoltunk be a Downadup (más néven Conficker) féreg felbukkanásáról, ami azóta lavinaként terjed tovább, napi egymillió pécét megfertőzve.

Szakértők 3,5 millióra teszik most a féreg által megfertőzött gépek számát az interneten, ami az elmúlt 24 óra alatt 1,1 millióval gyarapodott. Ebben az az igazán ijesztő, hogy a féreg a Windows Server egy olyan hibáját használja ki, amire a Microsoft tavaly októberben adta ki a javítócsomagot, és maga a féreg is hónapok óta benne van a nagyobb antivíruscégek adatbázisában.

A vírusirtó cégek Nyugat-Európából, az USA-ból, Kanadából és Mexikóból jelentik a legtöbb fertőzést. A Downadup a terjedésen felül felugró ablakokkal idegesíti a felhasználót, amiben hamis biztonsági szoftverek vásárlására bíztat. Emellett megvan benne az a lehetőség is, hogy a fertőzött gépeket távolról irányítható zombihálózattá fogja össze. A fertőzés mértékéből és a terjedés üteméből ítélve ebből egy sosem látott méretű és erejű botnet lehet.

A hálózat trükkösen működik: a féreg folyamatosan doménneveket generál egy bonyolult algoritmus alapján, az irányítónak pedig annyi a dolga, hogy egy ilyen nevet bejegyez, felépít rajta egy weboldalt, és erről képes átvenni az irányítást az összes fertőzött gép felett. Elméletileg hatásos védekezés lenne, ha az algoritmus visszafejtésével az antívírus cégek maguk is folyamatosan legenerálnák ezeket a neveket, és lefoglalnák a hackerek elől. Ezzel próbálkoztak tavaly FireEye biztonságtechnikai cég specialistái a hasonló elven működő Srizbi botnet ellen, de végül feladták, mert egyszerűen túl drága volt. Az F-Secure vírusirtó cég mindenesetre bejegyeztetett néhány ilyen lehetséges Downadup irányítószerver-címet, és ezeken keresztül próbálják a felmérni a botnet lehetséges méretét, illetve lehallgatni a belső kommunikációt a zombigépek között.