Virus Conficker.E má údajně autodestruktivní podobu

27. 4. 2009

Sdílet

Počítačový virus Conficker již řadu měsíců sužuje internet a neustále přichází s novými podobami. Poslední verze, označovaná písmenem E má v sobě mít podle řady výzkumných pracovníků sebedestruktivní kód, který se zaktivuje v úterý, 5. května.

Tuto teorii potvrzují například experti společnosti F-Secure, Trend Micro nebo SecureWorks, podle nichž byl Conficker.E naprogramován jen pro účinnost během dubna. Poté se prý zcela jednoduše sám zničí. Tato strategie však výzkumníkům doslova motá hlavy, protože není jasné, co má být cílem této akce a je možné, že se jedná jen o test chování viru a v budoucnu podobné jednání budou moci využít útočníci i v jiných situacích.

Nicméně ani po zničení viru Conficker.E se situace nijak výrazně nezmění, protože počítače, na nichž byl, budou dále zranitelné starší verzí, Conficker.C, která se stala aktivní během minulého měsíce a vnucuje uživatelům falešný antivirus za cenu 50 dolarů. Kolik jich na tuto nabídku již přistoupilo, není zatím známo.

Phillip Porras, programový ředitel informatických laboratoří ve společnosti SRI International ve své prezentaci na konferenci RSA, jež proběhla v uplynulém týdnu, říká, že jsme svědky začátku generování zisků Confickerem. Podle něj útočníci přišli konečně přišli s konkrétním byznys modelem a ten budou pravděpodobně rozvíjet.

Výzkumníci v oblasti bezpečnosti z průmyslových i vládních organizací používají nejrůznější prostředky k monitorování Confickeru, který momentálně blokuje při napadení počítače 114 seriózních antivirových sítí a momentálně funguje ve spolupráci s botnetem označovaným jako Waledec. Prodej falešných antivirů je pak spojen například s ukrajinskou společností Ukraien Bastion Trade Group, ale podle Porrase z toho nutně nevyplývá, že Conficker byl vytvořen touto skupinou a výzkumníci stále tápají v tom, kdo za Confickerem vůbec stojí a kdo jej ovládá. I když na výzkumu Confickeru pracuje velká řada expertů, včetně specializované Conficker Working Group, která v současnosti zahrnuje spolupráci 300 odborníků, kteří hledají zdroj, odkud Conficker přišel a také jak jej zastavit. Nicméně stále bez úspěchů. Experti dospěli zatím k závěru, že za Confickerem díky jeho komplexitě nebude stát jednotlivec, ale celý gang, který může být rozprostřený po celém světě. Co se týká sebedestruktivního charakteru Confickeru.E, výzkumníci jej označují za velmi podivný. Přitom tuto mutaci nikdo zatím neviděl pořádně v činnosti, i když si s ním někdo dal velkou práci.

Podle Joa Stewarta, ředitele výzkumu malwaru ve společnosti SecureWorks, je možné, že prostě varianta E nebyla dostatečně dobrá a nebo je jednoduše snahou útočníků zmást bezpečnostní experty a přitom mohou pracovat na mnohem více vylepšené verzi. I když není jasné, jakým dalším způsobem bude Conficker útočit, podle většiny expertů se bude zaměřovat na finanční zisky, k nimž je využíván již nyní.

Návod, jak zabezpečit svůj počítač proti Confickeru, případně jak se jej zbavit, najdete v článku Eset: Šíření viru Conficker může přerůst v epidemii.