Próby pobierania kodu przez Confickera spełzają na niczym

Próby pobierania kodu przez Confickera spełzają na niczym
02.04.2009 16:34
Próby pobierania kodu przez Confickera spełzają na niczym

Zgodnie z oczekiwaniami w środę wariant C robaka Conficker rozpoczął próby nawiązania kontaktu z licznymi stronami, aby pobierać z nich aktualizacje lub odbierać polecenia. Również zgodnie z oczekiwaniami nie doprowadziło to ani do zakłóceń w ruchu danych w Internecie, ani też nie zainicjowało nowej fali rozprzestrzeniania się robaka – aczkolwiek według specjalistów z F-Secure może to wynikać z faktu, że autorzy robaka do tej pory nie zostawili na stronach żadnych aktualizacji.

Także Thomas Hungenberg z jednostki CERT działającej przy niemieckiej Federalnej Agencji Bezpieczeństwa Technik Informacyjnych (BSI) zapytany przez heise Security stwierdził, że obecnie nie ma przesłanek pozwalających sądzić, że "systemy zainfekowane aktualną wersją złośliwego programu Conficker są w stanie skutecznie pobierać kod programu za pośrednictwem wygenerowanych nazw domenowych".

Nie jest jasne, czy robak miał w ogóle okazję dotrzeć do stron, czy też zostały one zablokowane przez Conficker Working Group (CWG). Sama grupa CWG nie chce udzielać w tej sprawie żadnych informacji. Conficker.C ma jednak wciąż możliwość nawiązywania kontaktu z innymi maszynami zainfekowanymi robakiem i pobierania w ten sposób aktualizacji lub nowych poleceń przez funkcję peer-to-peer. Jak twierdzi firma McAfee, pod tym względem również nie zdarzyło się nic szczególnego.

Niezależnie od wszystkiego, udział instalacji wariantu Conficker.C w ogólnej skali rozpowszechnienia tego wirusa jest stosunkowo niewielki. "Szkodniki" z rodziny C wywodzą się z aktualizacji wariantu B; w pewnym momencie niektórym z nich udało się nawiązać kontakt ze stronami, na których rozmieszczona była aktualizacja, pomimo prób zablokowania łączności z tymi stronami przez Conficker Working Group.

Zdaniem Thomasa Hungenberga z BSI wciąż jeszcze nie ma powodów do odwołania alarmu: "Systemy zainfekowane zarówno najnowszą, jak i wcześniejszymi wersjami Confickera będą próbowały pobierać kod także każdego dnia po 1 kwietnia". Autorzy wirusa wciąż mogą w dowolnym momencie rozmieścić w Sieci aktualizację lub wydać rozkaz wykonania określonej akcji. Nie należało się raczej spodziewać, że zrobią to akurat 1 kwietnia na oczach zawczasu ostrzeżonych użytkowników z całego świata.

Administratorzy powinni wykorzystać ten czas, aby pobrać i zastosować udostępnione w Sieci narzędzia do wykrywania i usuwania Confickera. Wciąż jeszcze (i to od wielu miesięcy) miliony komputerów z systemem Windows są zainfekowane Confickerem, przy czym prawdopodobnie większość z nich to komputery działające w firmach. Szczegółowe informacje na temat ochrony przed wirusami, robakami i innymi cyfrowymi "szkodnikami" można znaleźć na stronach antywirusowych serwisu heise Security.

wydanie internetowe www.heise-online.pl

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (10)