Conficker вече има по-лош двойник

Престъпниците, стоящи зад широко разпространилия се червей Conficker, известен и като Downadup са пуснали в мрежата нова версия на зловредния софтуер, което би могло да означава голяма промяна в начина на действие на вируса.

Новият вариант, наречен Conficker B++ е открит преди четири дни от изследователската компания SRI International, които публикуваха детайли за актуализирания програмен код в четвъртък. На пръв поглед новият вариант изглежда почти еднакъв с предишната версия на червея - Conficker B. B++ използва нови техники за сваляне на софтуер на компютъра, давайки на създателите си повече гъвкавост в това, което те могат да правят със заразените машини.

Машините, заразени с Conficker, е възможно да бъдат използвани за доста опасни неща - изпращане на нежелана поща (SPAM), четене удари на клавиатурата за вход с парола, извършване на DoS (Denial of Service) атаки др., но специална група, наричаща себе си Conficker Cabal в голяма степен е предотвратила това да се случи. Те са контролирали Conficker, crack-вайки алгоритъма, който този софтуер използва, за да намира едно от хилядите т.н. rendezvous points* в Интернет, където може да търси нов код. Тези т.н. rendezvous points използват уникални домейн имена, като напр. pwulrrog.org, които Conficker Cabal е регистрирала, за да ги изолира от достъпа на престъпниците.

Новият вариант - B++, използва същия алгоритъм да търси rendezvous points, но също така дава на създателите си две нови техники, които са напълно пропуснати от изследователите. Това означава, че най-успешният метод на Cabal може да бъде заобиколен.
Conficker претърпя значително пренаписване през декември, когато започна разпространението на вариант „B". Последната версия B++ обаче включва повече почти недоловими промени, според Фил Порас (Phil Porras), програмен директор в SRI.

Порас не е в състояние да каже от кога циркулира Conficker B++, но за първи път се появи на 6 февруари, според изследовател, използващ псевдонима Jart Armin и работещ в Уеб сайта Hostexploit.com, проследил Conficker.

Рик Уесън (Rick Wesson) - изпълнителният директор на Support Intelligence, казва (без да знае дали B++ е създаден в отговор работата на Cabal) в интервю по електронната поща, че новият вариант прави ботнета по-силен и че отслабва действието на това, което Cabal са направили.

Conficker, известен още и като Downadup, се разпространява, използвайки множество техники. Използва опасен бъг в Windows, за да атакува компютрите в локалната мрежа (LAN) и може да се разпространява също чрез USB устройства, като камери или устройства за съхранение на данни. Всички варианти на Conficker до сега са заразили повече от 10,5 млн. компютъра по целия свят, според SRI.

Robert McMillan, IDG News Service (San Francisco Bureau)

*Rendezvous Point e точка за среща/разпръскване на вируси, където те се събират и спират действието си за определено кратко време и след това се разпространяват едновременно.
Източник: pcworld.bg

Facebook коментари

Коментари в сайта

Случаен виц

Последни новини