С глобальными усилиями новый тип червя замедлен

Раньше были большие компьютерные черви, но ничего подобного Conficker.

Впервые обнаруженный в ноябре, червь вскоре заразил больше компьютеров, чем любой червь в последние годы. По некоторым оценкам, он теперь установлен на более чем 10 миллионов ПК. Но с самого первого появления, это было странно тихо. Conficker заражает ПК и распространяется по сетям, но он ничего не делает. Его можно использовать для запуска массового кибератаки, нанесения вреда практически любому серверу в Интернете или его можно было бы сдать в аренду спамерам, чтобы выкачать миллиарды на миллиарды спамовых сообщений. Вместо этого он сидит там, массивный двигатель разрушения, ожидающий, когда кто-то повернет ключ.

До недавнего времени многие исследователи безопасности просто не знали, чего ждет сеть Conficker. Однако в четверг международная коалиция обнаружила, что они предприняли беспрецедентные шаги, чтобы сохранить червь отдельно от серверов управления и контроля, которые могли бы контролировать его. Группа состоит из исследователей безопасности, технологических компаний, регистраторов доменных имен, которые объединили свои силы с Корпорацией Интернета для присвоенных имен и номеров (ICANN), которая контролирует систему доменных имен в Интернете.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows »

Исследователи разобрали код Conficker и обнаружили, что он использует сложную новую технику, чтобы позвонить домой для новых инструкций. Каждый день червь генерирует свежий список из примерно 250 случайных доменных имен, таких как aklkanpbq.info. Затем он проверяет эти домены для новых инструкций, проверяя их криптографическую подпись, чтобы убедиться, что они были созданы автором Conficker.

Когда код Conficker был сначала взломан, эксперты по безопасности схватили некоторые из этих случайно сгенерированных доменов, создав так называемые пробки серверов для получения данных от взломанных машин и наблюдения за тем, как червь работал. Но по мере того как инфекция стала более распространенной, они начали регистрировать все домены - около 2000 в неделю - выводя их из обращения до того, как преступники столкнулись с проблемой. Если бы плохие парни пытались зарегистрировать один из этих доменов с командованием и контролем, они бы обнаружили, что они уже были взяты, вымышленной группой, называющей себя «Conficker Cabal». Его адрес? 1 Microsoft Way, Редмонд Вашингтон.

Это новый вид игры «кошки-мышки» для исследователей, но он несколько раз тестировался за последние несколько месяцев. Например, в ноябре другая группа использовала технику для управления доменами, используемыми одной из крупнейших в мире сетей бот-сетей, известной как Srizbi, отсекающей ее с серверов управления и управления.

С тысячами доменов, однако эта тактика может стать трудоемкой и дорогостоящей. Таким образом, с Conficker группа идентифицировала и заперла имена, используя новую технику, назвав предварительную регистрацию и блокировку домена.

Разделив работу по идентификации и блокировке доменов Conficker, группа проверила только червя, не нанесли ему смертельного удара, сказал Андре Димино, соучредитель The Shadowserver Foundation, группы сторожевого пса. «Это действительно первая ключевая попытка на этом уровне, которая может существенно изменить ситуацию», - сказал он. «Мы хотели бы подумать, что у нас был какой-то эффект в его искалечении».

Это неизведанная территория для ICANN, группы, ответственной за управление адресной системой Интернета. В прошлом ICANN подвергалась критике за то, что она медленно использовала свои полномочия для отмены аккредитации у регистраторов доменных имен, которые широко использовались преступниками. Но на этот раз он похвалил расслабляющие правила, которые затрудняли блокировку доменов и объединение участников группы.

«В этом конкретном случае они смазывали колеса, чтобы вещи двигались быстро», - сказал основатель David Ulevitch OpenDNS. «Я думаю, что за это следует похвалить … Это один из первых случаев, когда ICANN действительно сделала что-то позитивное».

Тот факт, что такая разнообразная группа организаций работает вместе, замечательна, - сказал Рик Вессон, генеральный директор консалтинговой компании Support Intelligence по сетевой безопасности. «Китай и Америка сотрудничали, чтобы победить злонамеренную деятельность в глобальном масштабе … это серьезно. Этого никогда не было», - сказал он.

ICANN не вернула звонки, требующие комментариев для этой истории, и многие участники усилий Conficker, в том числе Microsoft, Verisign и China Internet Information Information Center (CNNIC) отказались от интервью для этой статьи.

В частном порядке некоторые участники заявляют, что они не хотят привлекать внимание к их индивидуальным усилиям по борьбе с тем, что вполне может быть организованным киберпреступность. Другие говорят, что, поскольку усилия настолько новы, пока еще преждевременно обсуждать тактику.

Какая бы ни была история, ставки явно высоки. Conficker уже был замечен в правительственных и военных сетях и был особенно опасен в корпоративных сетях. Один из промахов, и создатели Conficker могли перепрограммировать свою сеть, давая компьютерам новый алгоритм, который нужно было бы взломать и дать им возможность использовать эти компьютеры в гнусных целях. «Мы должны быть на 100 процентов точными, - сказал Вессон. «И битва - это ежедневная битва».

(Самнер Лимон в Сингапуре внес свой вклад в этот отчет.)