Conficker Zero Hour kommer utan händelse - ändå

En förväntad aktivering av Conficker.c-masken vid midnatt den 1 april gick utan incident, trots sensationell rädsla för att Internet skulle kunna påverkas, men säkerhetsforskare sa att användarna inte är ute av skogen än.

"Dessa grabbar har inga tankar på att ta ner infrastrukturen, för det skulle skilja dem från sina offer, säger Paul Ferguson, en hotforskare vid antivirusleverantör Trend Micro, som kallar Conficker.c: s teknik och design som "ganska mycket toppmodern. "

" De vill hålla infrastrukturen uppe och på plats för att göra det mycket svårare för bra killar att motverka och mildra vad de har orkesterat ", sade han. att ta bort skadlig kod från din Windows-dator]

Worm Stirs

Conficker.c programmerades för att upprätta en länk från infekterade värddatorer med kommando- och kontrollservrar vid midnatt GMT den 1 april. För att nå dessa kontrollservrar genererar Conficker.c en lista med 50 000 domännamn och väljer sedan 500 domän namn för kontakt. Den processen har börjat, säger forskare.

Exakt hur många datorer som är infekterade med Conficker.c är ännu inte kända, men det uppskattade antalet system smittade av alla varianter av Conficker-masken överstiger 10 miljoner, vilket gör den här av de största botnets som någonsin sett.

Medan infekterade datorer har börjat nå ut på att kommandot servrar som förväntat har det inte hänt något.

"Vi har observerat att Conficker når ut, men hittills har ingen av servrarna som de försöker nå betjänar ny malware eller några nya kommandon, säger Toralv Dirro, en säkerhetsstrateg på McAfee Avert Labs i Tyskland.

Detta kan bara betyda att de som kontrollerar Conficker bjuder sin tid och väntar på forskare och IT-chefer att slappna av sina vakt och antar att det värsta är över. "Det skulle vara ganska dumt för killarna som kör Conficker att använda den första möjliga möjligheten, när alla är väldigt glada över det och tittar mycket noggrant på det, säger Dirro. "Om något skulle hända, skulle det troligen hända om ett par dagar."

Detektioner, inokuleringar Öka

Tiden ligger inte på Conficker sida. Ormen kan lätt upptäckas och tas bort av användarna. Till exempel, om en dator inte kan nå webbplatser som McAfee.com, Microsoft.com eller Trendmicro.com som är en indikation på att datorn kan vara infekterad.

Dessutom kan IT-chefer enkelt upptäcka trafik som kommer från udda domännamn och blockera åtkomst till datorerna i deras företagsnätverk. "De längre brottslingarna väntar, de mindre infekterade värdarna de har", säger Dirro.

Ytterligare hjälp kommer från en lös koalition av säkerhetsleverantörer och andra som kallas Conficker Working Group, som har bandat ihop för att blockera tillgången till domäner som Conficker försöker kommunicera med. Men det är inte omedelbart klart om de insatser som har lyckats med att blockera tidigare versioner av ormen kommer att vara effektiva mot aktiveringen av Conficker.c.

"Vi kan inte riktigt säga hur framgångsrika försök att blockera dem eller inte dirigera dem är ", sade Dirro. "Det är någonting vi kommer att se när den första domänen faktiskt börjar använda skadlig kod, om åtminstone en börjar göra det."

Trots den ouppsågna överlämnandet av aktiveringsfristen är det hot som Conficker presenterat förblir riktigt. killar är mycket sofistikerade, mycket professionella, väldigt bestämda och väldigt mätta i hur de implementerar och gör förändringar i saker, säger Ferguson och tillägger att Conficker.c är bättre försvarat och mer överlevande än tidigare versioner av ormen. "Denna aktivering den 1 april var förmodligen bara godtycklig och vald för att orsaka hysteri."

Vid en viss tid kunde personerna bak Conficker.c försöka generera intäkter från botnet de skapat eller de kunde ha andra avsikter.

"Det stora mysteriet är att det finns den här stora laddade pistolen där ute, det här nätverket av miljontals maskiner som är under kontroll av personer okända", sade Ferguson. "De har inte angivit vad deras motiv är annat än att leka med människor."