Czy teraz Conficker odkryje swoje karty?

Nie ma końca spekulacjom, wyczekiwaniu i przypuszczeniom: do tej pory wyjątkowo inteligentnie zaprogramowany robak Conficker ograniczał się przede wszystkim do samoobrony, otwierając przy tym różne kanały komunikacji. Na przykład Conficker.C może budować sieci peer-to-peer z innymi zainfekowanymi systemami. Wszystkie te zabiegi "szkodnika" są wykonywane po to, aby samemu zmodyfikować się za pomocą pobieranego kodu albo też stawiać czynny opór programom antywirusowym i narzędziom do analizy zabezpieczeń. Nawet 1 kwietnia, w dniu, kiedy spodziewano się, że Conficker.C zacznie szukać w Sieci aktualizacji, nie stało się w zasadzie nic szczególnego. Teraz jednak w grę zaczynają wchodzić pieniądze: na komputery, które zostały zarażone robakiem pobierany jest program SpywareProtect2009, który należy do kategorii scareware.

Wszystkie te zabiegi "szkodnika" są wykonywane po to, aby samemu zmodyfikować się za pomocą pobieranego kodu albo też stawiać czynny opór programom antywirusowym i narzędziom do analizy zabezpieczeń. Nawet 1 kwietnia, w dniu, kiedy spodziewano się, że Conficker.C zacznie szukać w Sieci aktualizacji, nie stało się w zasadzie nic szczególnego. Teraz jednak w grę zaczynają wchodzić pieniądze: na komputery, które zostały zarażone robakiem pobierany jest program SpywareProtect2009. który należy do kategorii scareware.
Za pomocą programów scareware, takich jak Antivirus 2009. Malwarecore, WinDefender, WinSpywareProtect, XPDefender czy też wspomniany właśnie SpywareProtect2009, oszuści zarabiają wiele pieniędzy. Najpierw użytkownikowi podsuwany jest niewielki program, który wyświetla wyskakujące okienka o rzekomej infekcji komputera. Niedoświadczeni użytkownicy boją się i są skłonni zapłacić za oprogramowanie antywirusowe wątpliwej jakości, które zwykle jest opatrzone nazwami łatwo wpadającymi w ucho, fonetycznie zbliżonymi do nazw istniejących narzędzi antywirusowych. Jeśli ktoś ma szczęście, w ten sposób straci tylko pieniądze, ale za pomocą takiego oprogramowania można też ściągnąć na swój komputer prawdziwe wirusy, które zamienią peceta w bota i będą go wykorzystywać do rozsyłania spamu. Pod koniec ubiegłego roku Microsoft za pomocą narzędzia Malicious Software Removal Tool (MSRT) w krótkim czasie oczyścił ze scareware'u prawie milion pecetów.

Jak wynika z analizy firmy Kaspersky Lab, zainfekowane komputery zombie przez sieć P2. oprócz aktualizacji Confickera wymieniały się także adresami serwerów na Ukrainie, z których następnie pobierały i instalowały SpywareProtect2009. Ten program, rzecz jasna, następnie wykrywa na komputerze użytkownika "różne zagrożenia", których usunięcie ma kosztować użytkownika 49,95 dolarów. Płatność odbywa się przez kartę Visa lub Mastercard. Ukraina już wcześniej odegrała pewną rolę: Conficker.A zawierał tak zwany włącznik samobójstwa, czyli odpowiednią bombę logiczną, która wkraczała do akcji zawsze wtedy, kiedy robak wykrywał w ustawieniach ukraińską klawiaturę.

Poza tym Felix Leder z uniwersytetu w Bonn, który wspólnie ze swoim kolegą Tillmannem Wernerem zyskał niedawno sławę, uchylając rąbka tajemnicy robaka Conficker, donosi, że nowy wariant tego "szkodnika" blokuje sieciową łączność z kolejnymi domenami. Należy do nich między innymi strona uniwersytetu w Bonn, na której znajduje się test na obecność Confickera. Z tego powodu test został tymczasowo przeniesiony pod inny adres.

wydanie internetowe www.heise-online.pl