Conficker, угроза № 1 Интернета, получает обновление

Исследователи безопасности говорят, что червь, заразивший миллионы компьютеров по всему миру, был перепрограммирован для усиления своей защиты, а также пытается атаковать больше машин.

Conficker, который использует преимущества уязвимость в программном обеспечении Microsoft, заразила по меньшей мере 3 миллиона компьютеров и, возможно, до 12 миллионов, превратив их в огромный ботнет и одну из самых серьезных проблем компьютерной безопасности в последние годы.

Ботнеты можно использовать для отправки спама и атаковать другие веб-сайты, но они должны иметь возможность получать новые инструкции. Conficker может сделать это двумя способами: он может либо попытаться посетить веб-сайт, либо получить инструкции, либо получить файл через свою настраиваемую зашифрованную сеть P-to-P (одноранговая сеть).

[Дальнейшее чтение: Как удалить вредоносное ПО с вашего ПК с Windows]

В течение последнего дня или около того исследователи из Websense и Trend Micro заявили, что некоторые ПК, зараженные Conficker, получили двоичный файл через P-to-P. Контроллерам Conficker мешали усилия сообщества безопасности, чтобы получить указания через веб-сайт, поэтому теперь они используют функцию P-to-P, сказал Рик Фергюсон, старший советник по безопасности для вендора Trend Micro.

Новый binary сообщает Conficker, чтобы начать сканирование для других компьютеров, которые не исправили уязвимость Microsoft, сказал Фергюсон. Предыдущее обновление показало, что функция выключена, и это намек на то, что контроллеры Conficker, возможно, подумали, что ботнет стал слишком большим.

Но теперь «это, безусловно, указывает на то, что авторы [Conficker] стремятся контролировать больше машин», - сказал Фергюсон.

Новое обновление также сообщает Conficker, чтобы связаться с MySpace.com, MSN.com, Ebay.com, CNN.com и AOL.com, по-видимому, чтобы подтвердить, что зараженная машина подключена к Интернету, сказал Фергюсон. Он также блокирует зараженные ПК от посещения некоторых веб-сайтов. Предыдущие версии Conficker не позволяли людям просматривать веб-сайты компаний безопасности.

В другом повороте двоичный файл, по-видимому, запрограммирован на то, чтобы остановить работу 3 мая, что отключит новые функции, сказал он.

Это не первый раз, когда Conficker был закодирован с инструкциями по времени. Эксперты по компьютерной безопасности готовились к катастрофе 1 апреля, когда Conficker планировал посетить 500 из примерно 50 000 случайных веб-сайтов, созданных внутренним алгоритмом, чтобы получить новые инструкции, но день прошел без инцидентов.

Также беспокоиться что новое обновление сообщает Conficker о том, чтобы связаться с доменом, который, как известно, связан с другим ботнетом Waledec, сказал Фергюсон. Ботнет Waledec вырос таким образом, который был похож на червя Storm, еще один крупный ботнет, который теперь исчез, но использовался для отправки спама. Это означает, что, возможно, одна и та же группа может быть связана со всеми тремя бот-сетями, сказал Фергюсон.

Даже несмотря на то, что Conficker, похоже, пока не используется в злонамеренных целях, он по-прежнему остается угрозой, сказал Карл Леонард, исследование угрозы менеджер для Websense в Европе. Функциональность P-to-P указывает на уровень сложности, сказал он.

«Очевидно, что они приложили много усилий для сбора этого набора машин», - сказал Леонард. «Они хотят защитить свою среду и запускать эти обновления таким образом, чтобы они могли наилучшим образом использовать их».

Не все компьютеры, зараженные Conficker, обязательно будут быстро обновляться. Чтобы использовать функцию обновления P-to-P, зараженный Conficker ПК должен искать другие зараженные ПК, процесс, который не является немедленным, Ferguson.

Учитывая, что эксперты по безопасности значительно отличаются от того, сколько компьютеров может быть заражено Conficker, трудно сказать, какой процент имеет новое обновление.

Trend Micro и Websense оба предупредили, что их результаты являются предварительными, поскольку бинарное обновление все еще анализируется.

Хотя Microsoft выпустила специальный выпуск программного обеспечения в октябре прошлого года, Conficker продолжает пользоваться преимуществами тех ПК, которые не были исправлены. Фактически, некоторые варианты Conficker на самом деле будут исправлять эту уязвимость после заражения компьютера, чтобы никакие другие вредоносные программы не могли воспользоваться им.