Conficker Group säger Worm 4.6 Million Strong

Säkerhetsexperter säger att Conficker-masken har smittat en väldigt massa datorer, vilket gör den till den största "botnet" av hackade datorer på planeten. Den sak som de inte kan tycka överens om är dock exakt hur många människor som har drabbats.

Forskargruppen som har spårat mest - och kämpar - har ormen nu släppt sin egen uppskattning av Conficker storlek. Enligt uppgifter som konfigurerats av Conficker Working Group, har Conficker blivit upptäckt på knappt 4,6 miljoner unika IP-adresser. Dess tidigare A- och B-varianter står för lejonens andel av det - 3.4 miljoner IP-adresser - med den senaste C-varianten på 1,2 miljoner adresser.

De länder som mäter det största antalet infektioner för alla varianter är Kina, Brasilien och Ryssland.

Conficker har infekterat Windows-maskiner sedan oktober, men under de senaste veckorna har den fått mycket uppmärksamhet som en nyare version av ormen Conficker.C har uppdaterat hur det letar efter instruktioner, vilket gör det mycket svårare att sluta.

Under den senaste helgen smittade Conficker nästan 800 datorer vid University of Utah's Health Sciences Center. IT-personal där tror att det kan ha kommit på nätverket via en infekterad tummin enhet. När du är installerad på en dator, är Conficker mycket effektiv när du letar efter andra opatchade Windows-maskiner för att sprida.

Användare som undrar om de är smittade av masken kan prova det här enkla testet som utvecklats av SecureWorks.

Studier gjorda två veckor sedan av OpenDNS och IBMs Internet Security Systems-grupp hade föreslagit att så många som 4 procent av datorerna kunde ha drabbats av Conficker-masken, men arbetsgruppens analys tyder på att antalet är sannolikt mycket lägre.

"Vi hoppas att publicera dessa siffror kommer att kasta en liten bit av verkligheten i ekvationen ", säger Andre DiMino, grundare av The Shadowserver Foundation och en medlem av arbetsgruppen. Han tror inte att 4 procent av datorerna smittades. "Det är svårt att göra ett ärende för det just nu," sa han. Men det faktiska antalet infektioner kan vara högre eller lägre än 4,6 miljoner, erkände DiMino. Eftersom arbetsgruppens metod räknar IP-adresser kan de ha överräknade konsumenter som loggar in från flera IP-adresser eller underkunderade företagsinfektioner, som ofta döljs bakom en enda IP-adress.

OpenDNS, IBM och arbetsgruppen alla använde olika tekniker för att komma fram till sina uppskattningar, men de lita alla på att smittade maskiner måste checka in med en "command and control" -server för instruktioner. Arbetsgruppen fick sina uppgifter genom att sätta upp "sinkhole" -servrar på punkter på Internet som används av infekterade maskiner för att ladda ner instruktioner. De gjorde detta genom att ta över de domäner som Conficker är programmerad att besöka för att söka efter dessa instruktioner.

Antalet infektioner som uppmätts av arbetsgruppen är i linje med sina uppskattningar av tidigare varianter av masken, säger DiMino. "Inte alla As och Bs har blivit in i Cs", sa han.

För att komplicera saker ytterligare, upptäcktes en ny variant av Conficker förra veckan, och den här kommunicerar främst med peer-to-peer-tekniker, vilket mäts inte enkelt av arbetsgruppens sinkhole-servrar. Det betyder att gruppen troligtvis kommer att behöva utveckla ett nytt sätt att räkna infektioner som skillnaden mellan peer-to-peer-varianten, säger DiMino.

Även om arbetsgruppens data vid första anblicken är helt annorlunda än IBMs resultat är inte en överraskning, enligt Holly Stewart, en hot response manager med IBMs Internet Security Systems (ISS). Det är "riktigt svårt" för att få en fix på botnetets storlek, sa hon. "Jag tror inte att någon har ett perfekt svar," sa hon. "De har en datapunkt och vi har en annan datapunkt."

"Om du frågar mig vad det sanna numret är," lade hon till, "vi vet inte."