Chatter med Conficker-ormen

Chatter med Conficker-ormen

Forskere bruker ormens egen P2P-protokoll for å hanskes med Conficker.c.

Symantec og en av Nmaps bidragsytere, Ron Bowes, har slått seg sammen for å bekjempe Conficker.c og senere varianter av denne, melder Computerworld USA.

Ormen, også kjent under navnet Downadup, dukket opp i november 2008, men ble for alvor kjent på grunn av sin plan om å endre form 1. april 2009.

Etter 1. april har c-versjonen av Conficker blitt til Conficker.e, som blant annet installerer et ubrukelig svindelsikkerhetsprogram kalt Waledac, som kort oppsummert plager brukere til de punger ut 50 dollar.

– Det geniale med Conficker er at den kan endre karakter over natten. I dag sender den ut søppelpost, i morgen plukker den opp kredittkortnummer, sier senior virusanalytiker Snorre Fagerland i Norman til Dagensit.no.

Portskanneren Nmap beta 8, utgitt dagen før i går, har inkludert et skript som ser etter Conficker basert på ormens P2p-porter.

Chattende skript

P2p-portene til ormen, som analytikere tror har blitt lagt til som backup for det http-baserte «administrasjonssystemet» skurkene bruker, dukket først opp i Conficker.c.

- Skriptet hans går ut og ser etter Confickers p2p-lytteporter, og prøver så å chatte med dem. Hvis de svarer, ser skriptet på svarene. Vi hjalp ham med å finne ut hvilke svar han får fikk fra Conficker-bottene, sier direktør i Symantecs sikkerhetsangripsstyrke, Alfred Huger, til Computerworld USA.

For å fôre Bowes med relevant informasjon, ser Symantec på data de har samlet fra Conficker.c-infiserte maskiner i sitt eget eksperimentnetttverk samt andre analyser av ormen.

- Måten forfatteren av Conficker utnytter p2p-protokollen er smart, men ikke banebrytende, sier Huger.

Ikke garantert

Derfor kan altså Nmap fange opp signaler om at Conficker-ormen for eksempel er aktiv på bedriftsnettverket. Men det er ikke garantert at metoden fungerer.

- Nettverksskanning er i beste fall en ufullkommen vitenskap. Når et trolig treff på Conficker er avdekket, må du verifisere funnet ved å undersøke maskinen, sier Huger.

Også Bowes understreker at skriptet ikke er 100 prosent bankers i avdekkingen, ettersom brannmurer og portfiltrering kan vanskeliggjøre avdekkingen. Noen av disse utfordringene finnes det dog oppskrifter for å forbigå.

- Det nye skriptet er ekstremt nyttig – og sårt tiltrengt, særlig på steder der administrator ikke har enkel tilgang til samtlige maskiner, sier Huger.

Dette er ikke første gang Conficker bruker Conficker for å motarbeide Conficker. I slutten av mars fant tre andre forskere en annen feil i ormen som gjør den enklere å avdekke.

Har du ormen kan den fjernes for eksempel med Symantecs eget fjerningsprogram eller F-Secure sitt.

Les om: