Nieuwe variant Conficker-worm klaar voor grote aanval op 1 april

vrijdag 27 maart 2009

Grootste botnet sinds tijden gebruikt unieke benadering om antivirus-software te misleiden

Sliedrecht, 27 maart 2009
- Een nieuwe variant van de oude bekende Conficker-worm verspreid zich momenteel razendsnel en maakt zich klaar voor een massale aanval op 1 april. Eerdere verschijningsvormen slaagden er reeds in om wereldwijd duizenden pc's plat te leggen, maar de meest recente variant lijkt dit te gaan overtreffen. Win32/Conficker.X (ook bekend als Conficker.C of D)  is geprogrammeerd om zich vanaf 1 april  te richten op significant meer internetdomeinen dan normaal, voor het ophalen van instructies. Eerdere varianten proberen enkele honderden domeinen per dag te benaderen, maar met de nieuwste editie lijkt dit vanaf 1 april richting de 50.000 per dag te gaan. Beveiligingsspecialisten ESET en SpicyLemon hebben een Conficker-verwijdertool online beschikbaar gesteld.

Het grote gevaar schuilt erin dat mogelijk nu al vele pc's zijn geïnfecteerd, maar waarbij de worm pas op of na 1 april actief wordt. De verschillende beveiligingsbedrijven zijn onzeker over hoe deze pc's hierop gaan reageren. Het zou kunnen zijn dat de infectie zich manifesteert in een massale aanval op de internetinfrastructuur.

Hotlinks
-
Download verwijdertool Conficker
- Blogposts ESET over Conficker
- Website SpicyLemon
- Hoge resolutie foto’s

Een pc die geïnfecteerd is met Conficker kan op afstand worden overgenomen en maakt deel uit van een botnet. Deze verzameling pc's worden gebruikt om spam of malware op grote schaal te verspreiden. Dit botnet is inmiddels al zo groot dat verschillende antivirus-leveranciers spreken van het grootste botnet sinds tijden.

Verspreiding online en via draagbare media
Conficker richt zich op computerinfrastructuren met als doel grootschalige datadiefstal. De worm kan zich zo snel verspreiden, doordat hij zichzelf zowel via internet als draagbare media kan doorgeven.

Nienke Ryan, product- en strategiemanager bij SpicyLemon: "Het misbruiken van de autorun-functie is iets waar we al langer voor waarschuwen. Toch laten veel mensen deze functie nog altijd actief. Conficker maakt daar makkelijk gebruik van en weet zich zo razendsnel te verspreiden."

Beveiliger ESET heeft inmiddels een apart team op Conficker gezet in zijn Virus Lab en heeft mensen standby staan in de loop naar 1 april. Juraj Malcho, hoofd van ESET's Virus Lab: "We waren in staat om eerdere varianten op tijd te ondervangen dankzij onze proactieve detectiemethoden. We vertrouwen erop dat we onze gebruikers ook tegen deze variant kunnen beschermen."

Kenmerken van Conficker
Win32/Conficker.X voert de volgende veranderingen door aan geïnfecteerde systemen:
- past DNS aan, blokkeert alle tools met betrekking tot beveiliging
- blokkeert of verwijdert beveiligingssoftware
- kan via peer-to-peer netwerken communiceren
- vanaf 1 april zal het instructies gaan ophalen van maximaal 50.000 domeinen per dag

De beste bescherming wordt verkregen door de relevante patches voor het besturingssysteem te installeren, gebruik te maken van een beveiligingspakket en met de Conficker verwijdertool de pc schoon te maken.