Conficker Group говорит, что червь 4.6 миллиона сильных

Эксперты по безопасности говорят, что зараженный червь Conficker заражен ужасно много компьютеров, что делает его крупнейшим «ботнетом» взломанных компьютеров на планете. То, что они, похоже, не согласны, - это именно то, как много людей пострадали.

Группа исследователей, которая наиболее тщательно отслеживает и сражается - червь теперь опубликовал собственную оценку Размер Conficker. Согласно данным, собранным Рабочей группой Conficker, Conficker был обнаружен на уровне менее 4,6 миллионов уникальных IP-адресов. Его более ранние варианты A и B составляют львиную долю этого - 3,4 миллиона IP-адресов - с более недавним вариантом C, отмеченным на 1,2 миллиона адресов.

Страны, измеряющие наибольшее количество инфекций для всех вариантов, - это Китай, Бразилия и Россия.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Conficker заражает машины Windows с октября, но в последние недели он уделяет большое внимание как более новую версию червь Conficker.C обновил способ поиска инструкций, что значительно затрудняет его работу.

За прошедшие выходные Conficker заразил около 800 компьютеров в Центре медицинских наук Университета штата Юта. ИТ-персонал там думает, что он, возможно, попал в сеть через зараженный флеш-диск. После того, как он установлен на одном ПК, Conficker очень эффективен в поиске других нераспакованных машин Windows для распространения.

Пользователи, которые задаются вопросом, заражены ли они червем, могут попробовать этот простой тест, разработанный SecureWorks.

несколько недель назад группой OpenDNS и IBM Internet Security Systems было высказано предположение о том, что целых 4 процента компьютеров могли пострадать от червя Conficker, но анализ Рабочей группы предполагает, что число, вероятно, намного ниже.

«Мы надеемся что публикация этих чисел ввергнет немного в реальность в уравнение », - сказал Андре Димино, соучредитель The Shadowserver Foundation и член рабочей группы. Он не считает, что 4 процента ПК были заражены. «Трудно сказать, что сейчас, - сказал он.

Но фактическое число инфекций может быть выше или ниже 4,6 миллиона, признал Димино. Поскольку метод Рабочей группы подсчитывает IP-адреса, они могут перечитывать потребителей, которые входят в систему с нескольких IP-адресов или недоопределяют корпоративные инфекции, которые часто скрываются за одним IP-адресом.

OpenDNS, IBM и Рабочая группа все использовали различные методы для оценки своих оценок, но все они полагаются на то, что зараженные машины должны пройти проверку с помощью сервера «command and control» для получения инструкций. Рабочая группа получила свои данные, настроив серверы «провалов» в точках Интернета, используемых зараженными машинами, для загрузки инструкций. Они сделали это, захватив интернет-домены, которые Conficker запрограммировал для посещения, чтобы найти эти инструкции.

Число инфекций, измеренное Рабочей группой, соответствует его оценкам более ранних вариантов червя, сказал Димино. «Не все из As и B были превращены в Cs», - сказал он.

Чтобы усложнить ситуацию, на прошлой неделе был обнаружен новый вариант Conficker, и этот обменивается главным образом использованием одноранговых методов, которые нелегко измерить на просадочных серверах Рабочей группы. Это означает, что группе, вероятно, потребуется разработать новый способ подсчета инфекций в виде одноранговых вариантов распространения, сказал Димино.

Несмотря на то, что данные Рабочей группы, на первый взгляд, сильно отличаются от данных IBM, ее результатов не удивляют, по словам Холли Стюарт, менеджера по реагированию на угрозы с системами безопасности Internet (ISS) IBM. По ее словам, «действительно сложно» исправить размер ботнета. «Я не думаю, что у кого-то есть прекрасный ответ», - сказала она. «У них есть одна точка данных, и у нас есть другая точка данных».

«Если вы спросите меня, каково истинное число, - добавила она, - мы не знаем».