Експертите по сигурност не очакват катастрофални последствия от новата тактика на Conficker, но имат готовност за отпор
Бързоразвиващият се компютърен червей Conficker, който е заразил няколко милиона компютри досега, ще се опита да атакува по нов начин в сряда, 1 април, съобщава АР.
В Деня на лъжата много от заразените машини ще започнат по-агресивно да общуват със своите създатели в интернет. Когато това стане, лошите момчета, които ги контролират, ще могат да стартират програма, която изпраща спам, разпространява повече инфекции, задръства мрежите с трафик и спира функционирането на уеб сайтове.
Технически това би могло да доведе до хаос, от масово изваждане на мрежи от строя до създаване на кибероръжие за масово унищожение, което атакува правителствени компютри.
Но изследователи и експерти, които следят разпространението на Conficker смятят, че датата вероятно ще отмине без големи сътресения.
По-вероятно е, казват те, промяната в програмата, която ще се извърши на 1 април, да е отчасти символична – нещо като първоаприлска закачка с преследвачите на Conficker, които засега успяха да предотвратят по-сериозни щети от червея.
"Не мисля, че ще се случи катаклизъм в мрежата", каза Ричард Уанг, мениджър на щатското поделение на фирмата за сигурност Sophos. "Не е в интерес на хората зад Conficker да предизвикат голям мрежов проблем, тъй като няма да могат да правят пари, ако повредят части от интернет".
Контролът над заразените компютри е ценен на черния пазар, тъй като машините могат да се дават под наем от една престъпна група на друга. Армията от такива машини, известна като "ботнет" може да бъде един от най-големите инструменти за киберпрестъпления.
Авторите на Conficker просто трябва да имат надежден начин за комуникация с тях. Към момента, заразените с този червей компютри всеки ден се опитват да се свържат към 250 интернет домейни. Лошите момчета трябва да вземат под свой контрол само един сайт от тези домейни, за да изпращат командите си до ботнета.
Conficker, обаче, стана жертва на собствения си успех, тъй като бързото му разпространение привлече вниманието на компанните за компютърна сигурност. В сътрудничество с регистраторите на имена на домейни, те успяха да блокират комуникациите на ботнета.
Сега се очаква опитите да станат още по-сериозни. На 1 април много заразени с Conficker машини ще генерират списък от 50,000 нови домейни, към които ще се опитат да се свържат. От тази групи, ботнетът ще избере на случаен принцип 500. Достатъчно е само един от тях да заработи, за да могат престъпниците да овладеят контрола над заразените машини.
Експертите вече знаят кои домейни ще бъдат изпробвани, но не могат да поискат от регистраторите да неутрализират всички от тях.
"Ние очакваме нещо да се случи, но не знаем какво точно ще бъде", каза Жозе Назарио, мениджър по изучаване на сигурността в Arbor Networks, член на групата "Conficker Cabal," която е по следите на авторите на червея.
"С всяко движение, което правят, ни дават възможност да идентифицираме кои са те, къде се намират и какво ние можем да направим спрямо тях", допълни той. "Точно сега истинската трудност е да работим по целия свят. Това не е технически, а логистичен проблем".
Авторите на Conficker са обновили червея така, че заразените машини да могат да си "говорят" по нови начини. Те могат да споделят помежду си зловредни команди, вместо да получават инструкции от компрометиран уеб сайт.
Тази разлика е важна, тъй като показва, че дори когато експертите по сигурността успяват да неутрализират действията на ботнета, авторите на червея "не губят контрол над него", каза Майкъл Ла Пила, мениджър на екипа по операции на зловреден код в звеното iDefense на VeriSign.
Успехът на Conficker е илюстрация на това колко е важно мрежовите компютри да имат последните версии на пакетите за интернет сигурност. Conficker се разпространява благодарение на една уязвимост в Windows, която Microsoft отстрани през октомври.
Но много хора все още не са инсталирали този пач или работят с нелегални копия на операционната система, като така стават лесна плячка за червея, който може да нанесе доста щети при успешно проникване в компютъра. Той се опитва да открадне администраторски пароли, да деактивира софтуера за сигурност, да блокира достъпа до уеб сайтовете на доставчиците на антивирусни решения, за да не позволи обновяване, и поставя машината под контрола на авторите на Conficker.
Бързоразвиващият се компютърен червей Conficker, който е заразил няколко милиона компютри досега, ще се опита да атакува по нов начин в сряда, 1 април, съобщава АР.
В Деня на лъжата много от заразените машини ще започнат по-агресивно да общуват със своите създатели в интернет. Когато това стане, лошите момчета, които ги контролират, ще могат да стартират програма, която изпраща спам, разпространява повече инфекции, задръства мрежите с трафик и спира функционирането на уеб сайтове.
Технически това би могло да доведе до хаос, от масово изваждане на мрежи от строя до създаване на кибероръжие за масово унищожение, което атакува правителствени компютри.
Но изследователи и експерти, които следят разпространението на Conficker смятят, че датата вероятно ще отмине без големи сътресения.
По-вероятно е, казват те, промяната в програмата, която ще се извърши на 1 април, да е отчасти символична – нещо като първоаприлска закачка с преследвачите на Conficker, които засега успяха да предотвратят по-сериозни щети от червея.
"Не мисля, че ще се случи катаклизъм в мрежата", каза Ричард Уанг, мениджър на щатското поделение на фирмата за сигурност Sophos. "Не е в интерес на хората зад Conficker да предизвикат голям мрежов проблем, тъй като няма да могат да правят пари, ако повредят части от интернет".
Контролът над заразените компютри е ценен на черния пазар, тъй като машините могат да се дават под наем от една престъпна група на друга. Армията от такива машини, известна като "ботнет" може да бъде един от най-големите инструменти за киберпрестъпления.
Авторите на Conficker просто трябва да имат надежден начин за комуникация с тях. Към момента, заразените с този червей компютри всеки ден се опитват да се свържат към 250 интернет домейни. Лошите момчета трябва да вземат под свой контрол само един сайт от тези домейни, за да изпращат командите си до ботнета.
Conficker, обаче, стана жертва на собствения си успех, тъй като бързото му разпространение привлече вниманието на компанните за компютърна сигурност. В сътрудничество с регистраторите на имена на домейни, те успяха да блокират комуникациите на ботнета.
Сега се очаква опитите да станат още по-сериозни. На 1 април много заразени с Conficker машини ще генерират списък от 50,000 нови домейни, към които ще се опитат да се свържат. От тази групи, ботнетът ще избере на случаен принцип 500. Достатъчно е само един от тях да заработи, за да могат престъпниците да овладеят контрола над заразените машини.
Експертите вече знаят кои домейни ще бъдат изпробвани, но не могат да поискат от регистраторите да неутрализират всички от тях.
"Ние очакваме нещо да се случи, но не знаем какво точно ще бъде", каза Жозе Назарио, мениджър по изучаване на сигурността в Arbor Networks, член на групата "Conficker Cabal," която е по следите на авторите на червея.
"С всяко движение, което правят, ни дават възможност да идентифицираме кои са те, къде се намират и какво ние можем да направим спрямо тях", допълни той. "Точно сега истинската трудност е да работим по целия свят. Това не е технически, а логистичен проблем".
Авторите на Conficker са обновили червея така, че заразените машини да могат да си "говорят" по нови начини. Те могат да споделят помежду си зловредни команди, вместо да получават инструкции от компрометиран уеб сайт.
Тази разлика е важна, тъй като показва, че дори когато експертите по сигурността успяват да неутрализират действията на ботнета, авторите на червея "не губят контрол над него", каза Майкъл Ла Пила, мениджър на екипа по операции на зловреден код в звеното iDefense на VeriSign.
Успехът на Conficker е илюстрация на това колко е важно мрежовите компютри да имат последните версии на пакетите за интернет сигурност. Conficker се разпространява благодарение на една уязвимост в Windows, която Microsoft отстрани през октомври.
Но много хора все още не са инсталирали този пач или работят с нелегални копия на операционната система, като така стават лесна плячка за червея, който може да нанесе доста щети при успешно проникване в компютъра. Той се опитва да открадне администраторски пароли, да деактивира софтуера за сигурност, да блокира достъпа до уеб сайтовете на доставчиците на антивирусни решения, за да не позволи обновяване, и поставя машината под контрола на авторите на Conficker.
Източник: technews.bg