NASK wydał raport podsumowujący obserwację polskich domen będących celem robaka Conficker. W dokumencie możemy znaleźć między innymi opis algorytmu używanego przy wybieraniu kolejnych nazw domenowych, a także statystyki dotyczące czasowego i geograficznego rozkładu połączeń wykonywanych przez robaka. W skład zespołu badawczego weszli specjaliści z trzech działów NASK-a: CERT Polska, Działu Domen oraz Zespołu Integracji i Bezpieczeństwa.
Wirus Conficker atakuje systemy Windows i na zainfekowanych komputerach otwiera port, na którym działa usługa podobna do usługi serwerowej. Tą drogą inne systemy mogą pobierać jego kopie. Co ciekawe, "szkodnik" instaluje na komputerze łatę zamykającą lukę w zabezpieczeniach, przez którą się dostał, ale robi to nie tyle z dobrej woli, ale raczej po to, aby trzymać inne robaki RPC z dala od zainfekowanego przez siebie systemu. Dodatkowo Conficker odpytuje różne strony internetowe, aby na ich podstawie sprawdzać adres IP, z którego korzysta system, oraz aktualny czas. Bazując na informacjach o czasie, robak generuje listę domen, z którymi nawiązuje kontakt, aby pobierać dalsze elementy kodu.
W raporcie znajdziemy informację o tym, że najwięcej unikatowych systemów zainfekowanych Confickerem łączyło się 2 kwietnia –. średnio wykonano 11 296 połączeń do jednej domeny. Najwięcej połączeń odnotowano z Chin, Rosji i Brazylii, natomiast najbardziej niebezpieczną porą dnia były okolice godziny osiemnastej (nawet 3500 połączeń w ciągu 10 minut).
W ciągu miesiąca obserwacji zarejestrowano zaledwie 1. adresów IP, do których przypisano nazwy domenowe należące do instytucji rządowych (gov.pl) i tylko jeden adres z wojskowej domeny mil.pl. Najprawdopodobniej nie były to ważne systemy, ale bramy wyjściowe dla komputerów biurkowych.
Specjaliści mieli też okazję zaobserwować realny atak Confickera wymierzony w domenę będącą w ich dyspozycji. Osiemnastego kwietnia jedną z nazw wziętych przez robaka na celownik była nask.pl. Okazało się, że maksymalna liczba żądań HTTP wynosiła w tym dniu około 150 w ciągu pięciu minut (jedno żądanie co dwie sekundy), ale przeciętnie była mniejsza. Wychodzi więc na to, że serwery WWW obsługujące legalnie użytkowane nazwy domenowe nie powinny mieć kłopotów z obsługą ruchu generowanego przez wirusa. Istotnym faktem odkrytym podczas badań była niewielka liczba infekcji występujących na terytorium Polski. Specjaliści doliczyli się zaledwie 8867 unikatowych źródeł połączeń pochodzących z terytorium naszego kraju.
wydanie internetowe www.heise-online.pl
