Conficker Awakens, startar scamming

Conficker-masken är tillbaka i handling och stumping säkerhetsexperter igen. En av de mest smidigt utformade bitarna av skadlig kod har nyligen fått en uppdatering och börjar slutligen fungera som andra maskar. Det här är vad som händer:

Nya marsordningar

På onsdag började 8 april säkerhetsföretag att se några varianter av Conficker C, den senaste Conficker-smaken, få uppdateringar via sin krypterade fildelning (P2P) fildelning funktionalitet. Security Firm Trend Micro rapporterar att de nya Conficker-anvisningarna kom från en server i Korea och den nya filen skapades den 7 april 2009 kl 07:41:21. Den nya uppdateringen förstärkte Conficker-försvaret och de nya Conficker-funktionerna stängs av den 3 maj 2009.

Till den 3 maj kommer den uppdaterade Conficker att söka på Internet för oinfekterade Windows-maskiner som inte har tillämpat säkerhetsfläcken Microsoft MS08-67. Denna sök-och-infekteringsfunktionalitet slogs av i tidigare Conficker-sorter, förmodligen att kontrollera storleken på en framtida botnet. Det verkar dock som Conficker författare har omprövat den strategin och ser ut att växa sin skapelse en gång till. Vissa Conficker-varianter är också programmerade för att infektera en omladdad dator, och sedan när Conficker är i maskinen släpper masken upp svagheten för att hålla bort andra typer av skadlig kod som utnyttjar samma sårbarhet.

[Vidare läsning: Ta bort skadlig kod från din Windows-dator]

När Conficker infekterar en ny maskin eller uppdateras försöker den ansluta till MySpace.com, MSN.com, Ebay.com, CNN.com och AOL.com för att verifiera att datorn är ansluten till Internet.

Conficker första bluff avslöjade

Den nya Conficker har också börjat visa tecken på traditionell malware. Med hjälp av ett av de äldsta tricksna i boken, kallad scareware, laddar den nya Conficker C ett falskt antivirusprogram som heter Spyware Protect 2009 (bild). F-Secure säger att det kallas Spyware Guard 2008. Det falska programmet levererar sedan ett popup-meddelande som berättar att din dator är infekterad, men för endast $ 49,95 kan det falska antivirusprogramet ta bort skadlig programvara. Du riktas sedan till en falsk webbplats där du oavsiktligt anger all din kreditkortsinformation och sedan skriker brottslingarna hela vägen till banken - din bank, det vill säga. Scareware-bluff verkar komma från en server i Ukraina, enligt Washington Post.

Conficker: Spambot i förklädnad?

Det verkar som om Conficker, som är en knepig liten programmering, på något sätt är kopplad till Waledac-masken - och Waledac själv anses vara en uppdatering av Stormworm. Det finns ingen överenskommelse om vad Conficker faktiskt gör, men enligt säkerhetsföretaget F-Secure går Conficker till en domän som är känd för att vara associerad med Waledac och faktiskt laddar ner Waledac-masken. Trend Micro, under tiden, säger att Conficker hämtar någon kod från Waledac-domänen, men säkerhetsföretaget vill göra ytterligare studier innan de bekräftar en Conficker-Waledac-anslutning. Trend Micro föreslår emellertid att Conficker kan bli redo att arbeta som en storskalig spammnings botnet, en känd funktion av Waledac-masken.

Conficker: Mer än vad som stämmer överens med ögat

Den nya Conficker har uppenbarligen fler knep dess ärm som forskare ännu har att avslöja. Medan säkerhetslag försöker avslöja alla Conficker senaste tricks och tweaks, vet de att Conficker är vaken och maskens författare börjar använda Conficker-infekterade maskiner för att tjäna pengar. Hur långt kommer det att gå är okänt för tillfället.

Vart går vi härifrån?

När säkerhetsforskare börjar riva upp mysterierna kring den senaste versionen av Conficker, kan du skydda dig mot ormen genom att först testa ditt system för infektion och sedan genom att se till att du har de senaste säkerhetsuppdateringarna i Microsoft och att ditt antivirusprogram är aktuellt. Conficker Working Group har ett enkelt test för att se om du är infekterad med Conficker.