Kumpulan Conficker Kata Worm 4.6 Juta Kuat

Ahli keselamatan mengatakan bahawa cacing Conficker telah dijangkiti banyak komputer yang banyak, menjadikannya "botnet" terbesar komputer yang diretas di planet ini. Walau bagaimanapun, perkara yang tidak sepatutnya disepakati adalah berapa banyak orang yang telah dipukul.

Kumpulan penyelidik yang telah mengamati dengan lebih dekat - dan bertarung - cacing itu kini telah mengeluarkan anggaran sendiri Saiz Conficker. Menurut data yang dikumpulkan oleh Kumpulan Kerja Conficker, Conficker telah dikesan hanya di bawah 4.6 juta alamat IP unik. Varian A dan B yang terdahulu menyumbang kepada bahagian singa itu - 3.4 juta alamat IP - dengan variasi C yang lebih baru dilihat pada 1.2 juta alamat.

Negara-negara yang mengukur bilangan jangkitan terbesar bagi semua varian ialah China, Brazil dan Rusia.

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows Anda]

Conficker telah menjangkiti mesin Windows sejak Oktober, tetapi dalam beberapa minggu kebelakangan ini telah mendapat banyak perhatian sebagai versi yang lebih baru cacing, Conficker.C, telah memperbaharui cara ia mencari arahan, menjadikannya lebih sukar untuk dihentikan.

Sepanjang hujung minggu lalu, Conficker menjangkiti hampir 800 PC di Pusat Sains Kesihatan University of Utah. Kakitangan IT di sana fikir ia mungkin telah mendapat jaringan melalui pemacu ibu jari yang dijangkiti. Sebaik sahaja dipasang pada satu PC, Conficker sangat berkesan untuk mencari mesin Windows lain yang belum dipaten untuk menyebarkan.

Pengguna yang tertanya-tanya apakah mereka dijangkiti oleh cacing itu boleh mencuba ujian mudah ini yang dibangunkan oleh SecureWorks. minggu lalu oleh OpenDNS dan kumpulan Sistem Keamanan Internet IBM telah mencadangkan sebanyak 4 peratus PC mungkin telah terkena cacing Conficker, tetapi analisis Kumpulan Kerja menunjukkan jumlah itu mungkin jauh lebih rendah.

"Kami berharap bahawa penerbitan angka-angka ini akan membuang sedikit realiti ke persamaan, "kata Andre DiMino, pendiri Yayasan Shadowserver dan anggota Kelompok Kerja. Dia tidak percaya bahawa 4 peratus PC dijangkiti. "Sukar untuk membuat kes itu sekarang," katanya. Tetapi jumlah sebenar jangkitan mungkin lebih tinggi atau lebih rendah daripada 4.6 juta, DiMino mengakui. Oleh kerana kaedah Kumpulan Kerja mengira alamat IP, mereka mungkin mempunyai pengguna yang melebihi jumlah yang log masuk dari pelbagai alamat IP, atau jangkitan korporat yang kurang dikenali, yang sering tersembunyi di belakang satu alamat IP.

OpenDNS, IBM dan Kumpulan Kerja semua menggunakan teknik yang berbeza untuk mencapai anggaran mereka, tetapi mereka semua bergantung pada fakta bahawa mesin yang dijangkiti perlu mendaftar masuk dengan pelayan "perintah dan kawalan" untuk arahan. Kumpulan Kerja mendapat data dengan menyediakan pelayan "sinkhole" pada titik di Internet yang digunakan oleh mesin yang dijangkiti untuk memuat turun arahan. Mereka melakukan ini dengan mengambil alih domain Internet yang Conficker diprogram untuk melawat untuk mencari arahan tersebut.

Jumlah jangkitan yang diukur oleh Kumpulan Kerja adalah selaras dengan anggaran varian cacing sebelumnya, kata DiMino. "Tidak semua As dan Bs telah bertukar menjadi Cs," katanya.

Untuk mempersulit perkara-perkara selanjutnya, varian baru Conficker dilihat minggu lalu, dan ini berkomunikasi terutama menggunakan teknik peer-to-peer, yang tidak mudah diukur oleh pelayan sinkhole Kumpulan Kerja. Ini bermakna kumpulan mungkin perlu membina cara baru untuk mengira jangkitan kerana variasi peer-to-peer menyebar, kata DiMino.

Walaupun data Kumpulan Kerja adalah, pada pandangan pertama, agak berbeza dari IBM, hasilnya tidak mengejutkan, menurut Holly Stewart, pengurus tindak balas ancaman dengan Sistem Keamanan Internet IBM (ISS). Ia "sangat susah" untuk menetapkan saiz botnet, katanya. "Saya tidak fikir sesiapa mempunyai jawapan yang sempurna," katanya. "Mereka mempunyai satu titik data dan kami mempunyai titik data lain."

"Jika anda bertanya kepada saya apa nombor sebenar," katanya, "kita tidak tahu."