Najgroźniejszy wirus świata zdemaskowany!

Jeśli do tej pory nie było bezpośrednich dowodów na to, że Conficker nie jest dziełem nowicjuszy, to analiza Ledera i Wernera ich dostarcza. Na przykład robak zawiera bardzo inteligentny mechanizm automatycznej aktualizacji: śledzi wywołania windowsowej funkcji NetpwPathCanonicalize() służącej do zmiany względnej ścieżki w rodzaju \a..\b w kanoniczną postać \b. Jeśli do mechanizmu dociera żądanie wykonania wspomnianej funkcji, to podstawiona procedura próbuje wykorzystać lukę w zabezpieczeniach w taki sam sposób, jak to robi sam Conficker. W funkcji zamieniającej ścieżki wywoływany jest błąd przepełnienia bufora i wstrzykiwany kod bajtowy, którego zadaniem jest pobranie kopii szkodnika. URL wykorzystywany do tego celu Conficker ekstrahuje z wstrzykniętego kodu maszynowego, a następnie sam ładuje główny program robaka.

Na tym się jednak nie kończy. Conficker sprawdza bardzo dokładnie, czy na pewno chodzi tutaj o aktualniejszą wersję jego samego. Kryterium kontroli jest cyfrowy podpis, który musi być opatrzony tajnym kluczem RSA autora robaka. W ten sposób w zasadzie niemożliwe jest podsunięcie "szkodnikowi" czegoś innego; jego twórcy zaimplementowali tutaj zdecentralizowany mechanizm autoaktualizacji, który specjaliści uważają za praktycznie niemożliwy do pokonania.

Mimo tego wyniki pracy Ledera i Wernera można wykorzystać do precyzyjnego działania przeciwko robakowi. Poszukując w pamięci operacyjnej jednoznacznych kluczy RSA służących do sprawdzania cyfrowych sygnatur, specjaliści byli w stanie precyzyjnie wykryć i zakończyć wątki prowadzone przez robaka. Oprócz tego zanalizowali i odtworzyli zastosowany w Confickerze algorytm dla liczb pseudolosowych oraz powiązane z nimi parametry. Udało im się także stworzyć narzędzie, za pomocą którego można wyliczyć dobierane nazwy domenowe, z którymi Conficker o określonej porze nawiązuje kontakt. Korzystając z przygotowanego przez nich narzędzia, można także odtworzyć nazwy plików i wpisy w rejestrze. Poza tym Leder i Werner napisali program, który potrafi ustanowić w systemie odpowiednie elementy Mutex; powodują one, że Conficker przyjmuje, iż dany system jest już zainfekowany i nie stara się go ponownie zainfekować. Jeszcze wczoraj obaj informatycy zaprezentowali skaner, który rozpoznaje "szkodnika" przez sieć na podstawie
wartości zwrotnych określonych wywołań funkcji. Jednak w związku z porozumieniem z grupą Conficker Working Group nie chcą na razie zdradzać szczegółów.

Oprócz tego specjalistom od sieci pułapek (honeynet) udało się też wykryć słaby punkt Confickera. W opublikowanym dokumencie napotkamy jedynie na złowieszczą wzmiankę, że oryginalna wersja opisuje problem, który "daje się wykorzystać". Na zapytanie ze strony heise Security, czy w ten sposób można by oczyścić komputery z wirusa przez sieć, specjaliści odmówili odpowiedzi, powołując się na umowę z Conficker Working Group, która zabroniła im udzielania jakichkolwiek komentarzy w tej materii.

Wcześniej, przy okazji walki z siecią Stormworm, specjaliści ze względu na kwestie prawne i moralne zrezygnowali z aktywnego udziału w walce z siecią zainfekowanych komputerów zombie. Z drugiej strony trzeba jednak zauważyć, że w tamtym czasie sieć stworzona przez robaka Stormworm była już zdziesiątkowana i nie stanowiła żadnego realnego zagrożenia. Inaczej wygląda za to sytuacja z Confickerem: mówi się już o wielu milionach zainfekowanych komputerów, a międzynarodowa branża producentów programów zabezpieczających skoncentrowała swoje siły w grupie Conficker Working Group. Grupa zarejestrowała już tysiące domen, aby uniemożliwić aktualizację Confickera w wariantach A i B do wersji C; wyznaczona została także nagroda w wysokości 250 tysięcy dolarów w zamian za wskazówki, które pozwolą na ujęcie twórców robaka. Wszyscy zadają sobie pytanie, czy grupa weźmie pod uwagę także środki, które doprowadzą do precyzyjnego wyeliminowania "szkodnika".

wydanie internetowe www.heise-online.pl