Conficker Awakens, начинает scamming

Червь Conficker снова в действии и еще раз опровергнув экспертов по безопасности. Одна из самых хитроумных вредоносных программ недавно получила обновление и, наконец, начинает вести себя как другие черви. Вот что происходит:

Новые маршевые заказы

В среду, 8 апреля, охранные фирмы начали видеть некоторые варианты Conficker C, новейшего вкуса Conficker, получать обновления через свой общий доступ к файлам через зашифрованные одноранговые сети (P2P) функциональность. Security Firm Trend Micro сообщает, что новые инструкции Conficker пришли с сервера в Корее, и новый файл был создан 7 апреля 2009 года в 07:41:21. Новое обновление усилило защиту Conficker и новые функции Conficker будут закрыты 3 мая 2009 года.

До 3 мая обновленный Conficker будет искать в Интернете для неинфицированных машин Windows, которые не применяли исправление для системы безопасности Microsoft MS08-67. Эта функция поиска и заражения была отключена в предыдущих вариантах Conficker, предположительно для контроля размера будущего ботнета. Тем не менее, кажется, авторы Conficker переосмыслили эту стратегию и хотят снова вырастить свое творчество. Некоторые варианты Conficker также запрограммированы на заражение не прошедшего проверку компьютера, а затем, когда Conficker находится на машине, червь исправляет слабость, чтобы не использовать другие типы вредоносных программ, которые используют одну и ту же уязвимость.

[Читать далее: Как удалить вредоносное ПО с вашего ПК с Windows]

После того, как Conficker заражает новый компьютер или получает его обновление, он пытается подключиться к MySpace.com, MSN.com, Ebay.com, CNN.com и AOL.com, чтобы убедиться, что компьютер подключился к Интернету.

Впервые обнаружено мошенничество Conficker

Новый Conficker также начал демонстрировать признаки традиционной вредоносной программы. Используя один из самых старых трюков в книге, называемый scareware, новый Conficker C загружает поддельную антивирусную программу под названием Spyware Protect 2009 (на фото). F-Secure говорит, что это называется Spyware Guard 2008. Поддельная программа затем выдает всплывающее сообщение о том, что ваш компьютер заражен, но всего за 49,95 долларов поддельная антивирусная программа может удалить вредоносную программу. Затем вас направляют на фиктивный веб-сайт, где вы невольно вводите всю информацию о своей кредитной карте, а затем преступники смеются до самого банка - вашего банка. Похоже, что scareware-мошенничество происходит с сервера на Украине, по данным Washington Post.

Conficker: Spambot в масках?

Conficker, будучи сложным небольшим программированием, похоже, связан каким-то образом с червь Waledac - и сам Waledac считается обновлением червя Storm. Не существует единого мнения о том, что делает Conficker, но, по словам охранной фирмы F-Secure, Conficker собирается в домен, который, как известно, связан с Waledac и фактически загружает червь Waledac. Тем временем Trend Micro говорит, что Conficker загружает код из домена Waledac, но фирма по безопасности хочет продолжить исследования, прежде чем подтвердить подключение Conficker-Waledac. Тем не менее, Trend Micro предполагает, что Conficker может готовиться к работе как крупномасштабная спам-ботнет, известная функция червя Waledac.

Conficker: больше, чем кажется на первый взгляд

По-видимому, у нового Conficker больше трюков его рукав, который исследователи еще не обнаружили. В то время как команды безопасности пытаются выявить все последние трюки и хитрости Conficker, они знают, что Conficker бодрствует, и авторы червя начинают использовать Conficker-зараженные машины, чтобы заработать деньги. Как только это произойдет, пока неизвестно.

Куда мы идем отсюда?

Как исследователи безопасности начинают разгадывать тайны, связанные с последней версией Conficker, вы можете защитить себя от червя путем первого тестирования вашей системы для заражения, а затем, убедившись, что у вас есть последние исправления Microsoft Security и что ваша антивирусная программа обновлена. Рабочая группа Conficker провела простой тест, чтобы убедиться, что вы заражены Conficker.