Wirusy, trojany, phishing I-III 2009

Przeczytaj także: Wirusy, trojany, phishing VII-IX 2008

Conficker wykorzystuje słabe punkty usługi Windows Server (usterka Windows MS08-067 została poprawiona w październiku 2008 roku). Jednak na tym nie koniec. Conficker rozprzestrzenia się również poprzez mechanizm autoodtwarzania, tworząc swoje kopie na wymiennych dyskach USB. Po zainfekowaniu komputera robak próbuje uzyskać dostęp do wspólnych miejsc sieciowych i złamać hasła użytkowników kont, na przykład pracowników firm. Celem Confickera jest szybkie rozprzestrzenianie wśród niezarażonych komputerów. W związku z tym w chwili kiedy przejmuje on konto administratora sieci, stara się zainfekować wszystkie podłączone do niego komputery. Kiedy urządzenia, otrzymają polecenie wykonania określonego zadania np. instalacji programu, uruchamiają robaka bez zadawania użytkownikowi pytań.

Conficker Wariant B

Z raportu wynika, że w celu przejęcia kontroli nad systemem Conficker musi ustalić wersję językową Windows. Starsze wersje robaka były nieco ograniczone pod tym względem, ponieważ wykonywały zapytanie lokalizacyjne GeoIP przez internet. Baza danych GeoIP przekształcała adresy IP (używane przez wszystkie komputery w sieci) na położenie geograficzne. Podczas atakowania komputera znajdującego się w Stanach Zjednoczonych robak próbował wykorzystać usterkę w angielskiej wersji językowej. Jeśli atakowany komputer znajdował się w Chinach, robak próbował wykorzystać usterkę w chińskiej wersji językowej itd. Wobec tego dostawcy bazy danych GeoIP, używanej przez wersję Conficker.A, zmienili jej nazwę i położenie, aby uniemożliwić robakowi lokalizowanie ofiar. Na reakcję twórców Confickera nie trzeba było długo czekać. Autorzy robaka zintegrowali małą bazę danych GeoIP z kodem wersji Conficker.B.

Wariant B robaka Conficker rozprzestrzenił się szybko w styczniu i lutym, infekując miliony komputerów na całym świecie. Największą liczbę zakażeń odnotowano w krajach takich jak Chiny, Brazylia, Rosja i Indie. W tym samym okresie pojawiło się wiele doniesień o zainfekowanych sieciach w Europie. Powodów sukcesu Confickera.B było kilka. Wiele organizacji i firm nie zainstalowało niezbędnych uaktualnień Windowsa, które pojawiły się w październiku 2008. Zmieniła się również struktura robaka, który do tej pory wykorzystywał około 250 domen, co dawało mu możliwość podłączenia się do 250 komputerów. Obecna wersja Conficker.B jest w stanie dziennie wytworzyć 50 000 tysięcy domen. Dodatkowo może aktualizować się i rozprzestrzeniać za pomocą programów do wymiany plików P2P. Zgromadzone przez robaka w sieć komputery–zombie, umożliwiają przeprowadzenie dowolnego ataku, który zostanie zlecony jego twórcom.

Ze względu na szybko rosnącą liczbę infekcji i ryzyko, że robak skontaktuje się ze swoimi autorami, kilka firm z branży antywirusowej wspólnie założyło „Zespół do badań nad Confickerem”. We współpracy z rejestratorami domen internetowych z wielu różnych krajów zespół zdołał zablokować stronę WWW, z którą Conficker próbował się połączyć. Zablokowanie tych połączeń utrudniło autorom robaka wykorzystanie go do celów przestępczych. W podobny sposób monitorowana jest bieżąca wersja Conficker.C, która próbuje się kontaktować ze znacznie większą liczbą domen.

Złodzieje danych

Raport podaje, że nie ustępują kradzieże danych personalnych i zagrożenia związane z kartami kredytowymi. Świadczą o tym dwa godne uwagi włamania do baz danych w pierwszym kwartale roku.

Serwis pośrednictwa pracy Monster UK (monster.co.uk) padł ofiarą złośliwej aplikacji, której celem były osoby zajmujące się rekrutacją. Z korporacyjnych kont program zdołał uzyskać dostęp do życiorysów i podań przesyłanych przez kandydatów. Napastnicy wykradli osobiste dane dziesiątek tysięcy użytkowników serwisu.