Kaspersky, OpenDNS Samarbetar till Slow Conficker Worm

OpenDNS har lagt till en funktion för sina DNS-tjänster (Domain Name System) för att bekämpa en utbredd mask, med hjälp av det ryska säkerhetsbolaget Kaspersky Lab.

OpenDNS har ett eget nätverk av DNS-servrar som översätter domännamn till IP (Internet Protocol) adresser, till exempel kan webbplatser visas i en webbläsare. Företaget säger att systemet är snabbare än att använda DNS-servrarna som drivs av Internetleverantörer (Internet-leverantörer) och ger bättre skydd mot phishing och andra funktioner som webbinnehållsfiltrering.

OpenDNS använder nu en lista över webbplatser som levereras av Kaspersky Lab som Conficker-masken uppmanar att uppdatera sig. Ormen, även känd som Kido och Downandup, antas ha infekterat upp till 10 miljoner datorer genom att utnyttja en sårbarhet i Microsofts Windows Server Service, trots att Microsoft har utfärdat en nödsituation i oktober.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Conficker innehåller en algoritm som genererar dussintals nya domännamn dagligen. Hackarna som kontrollerar Conficker kan registrera ett av domännamnen och sedan lägga till instruktioner eller uppdateringar för skadlig programvara på webbplatsen för Conficker att ladda ner när den checkar in.

Problemet är att ingen vet vilken webbplats som ska aktiveras nästa, eller när. Men algoritmen har knäckts av Kaspersky, så de vet vilka webbplatser som potentiellt kan gå.

Mekanismen används också av andra botnet controllers. Det är svårt för säkerhetsproffs att sluta, även om ett säkerhetsföretag nyligen gick i besväret med att registrera alla potentiella domännamn för att blockera uppdateringar för ett annat botnet.

OpenDNS jobbar runt det problemet genom att ta en lista över potentiella domäner från Kaspersky som Conficker kan ringa på och inte låta dem lösa. Det betyder att om en dator som använder OpenDNS är infekterad med Conficker, ska malware inte kunna uppdatera sig själv. Malware kommer dock fortfarande att finnas på datorn.

OpenDNS har också lagt till en Botnet Protection-funktion till sin tjänst, vilket kommer att varna administratörer om de har en infekterad maskin.

Conficker har visat sig vara en av de mest allvarliga maskar i det senaste minnet. Infektioner har spridit sig snabbt sedan förra året. System blir smittade när en hackare konstruerar ett skadligt fjärrproceduresamtal (RPC) till en oförändrad server, vilket tillåter att godtycklig kod körs på en maskin. Conficker använder också andra metoder för att sprida sig, inklusive att försöka kopiera sig till andra delade nätverksmaskiner genom att gissa lösenord.

Conficker Controller har hittills inte gjort något ont med botnet. Säkerhetsanalytiker håller ögonen på situationen noga på grund av botnetets enorma storlek, vilket kan ha spökat sina kontrollanter från att försöka använda den för avslag mot beteende eller skicka spam.

OpenDNS tjänster är gratis. Företaget tjänar pengar Visa annonser tillsammans med sökresultat om någon skriver in ett ogiltigt domännamn. OpenDNS kommer dock att fixa typsnitt i domännamn om tjänsten kan gissa vilken webbplats någon har för avsikt att besöka.