androide

Conficker verme ottiene un gemello malvagio

The Conficker Worm - Cyber Security Minute

The Conficker Worm - Cyber Security Minute
Anonim

I criminali dietro il verme di Conficker diffuso ha rilasciato una nuova versione del malware che potrebbe segnalare un cambiamento importante nel funzionamento del worm.

La nuova variante, denominata Conficker B ++, è stata individuata tre giorni fa dai ricercatori SRI International, che hanno pubblicato i dettagli del nuovo codice su Giovedi. Per l'occhio inesperto, la nuova variante sembra quasi identica alla versione precedente del worm, Conficker B. Ma la variante B ++ utilizza nuove tecniche per scaricare software, offrendo ai suoi creatori una maggiore flessibilità in ciò che possono fare con le macchine infette.

Le macchine infette da Conficker potrebbero essere usate per cose sgradite - mandare spam, registrare sequenze di tasti o lanciare attacchi DoS (denial of service), ma un gruppo ad hoc che si fa chiamare Conficker Cabal ha in gran parte impedito che ciò accadesse. Hanno tenuto sotto controllo Conficker rompendo l'algoritmo che il software utilizza per trovare uno dei migliaia di punti di rendez-vous su Internet dove può cercare il nuovo codice. Questi punti di rendez-vous utilizzano nomi di dominio unici, come pwulrrog.org, che Conficker Cabal ha lavorato duramente per registrarsi e tenersi fuori dalla mano dei criminali.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

La nuova variante B ++ usa lo stesso algoritmo per cercare i punti di rendez-vous, ma dà anche ai creatori due nuove tecniche che saltano del tutto. Ciò significa che la tecnica di maggior successo della Cabala potrebbe essere aggirata.

Conficker subì una grande riscrittura a dicembre, quando la variante B fu rilasciata. Ma questa ultima versione di B ++ include cambiamenti più sottili, secondo Phil Porras, direttore del programma con SRI. "Questo è un insieme più chirurgico di modifiche che hanno apportato", ha detto.

Per mettere le cose in prospettiva: c'erano 297 subroutine in Conficker B; Sono state aggiunte 39 nuove routine in B ++ e sono state modificate tre subroutine esistenti, l'SRI ha scritto in un rapporto sulla nuova variante. B ++ suggerisce "gli autori di malware potrebbero cercare nuovi modi per ovviare al bisogno di punti di rendez-vous di Internet", afferma il rapporto.

Porras non ha potuto dire per quanto tempo Conficker B ++ è stato in circolazione, ma è apparso per la prima volta il 6 febbraio., secondo un ricercatore che usa lo pseudonimo di Jart Armin, che lavora sul sito Web Hostexploit.com, che ha rintracciato Conficker.

Anche se non sa se il B ++ è stato creato in risposta al lavoro della Cabal, "rende il botnet più robusta e mitiga alcuni dei lavori della Cabal ", ha detto il CEO di Support Intelligence Rick Wesson in un'intervista via e-mail.

Conosciuto anche come Downadup, Conficker si diffonde usando una varietà di tecniche. Sfrutta un pericoloso bug di Windows per attaccare i computer su una rete locale e può anche diffondersi tramite dispositivi USB come fotocamere o dispositivi di archiviazione. Tutte le varianti di Conficker hanno infettato circa 10,5 milioni di computer, secondo lo SRI.