Conficker, Ancaman No. 1 Internet, Mendapat Kemas Kini

Penyelidik keselamatan mengatakan bahawa cacing yang telah menjangkiti berjuta-juta komputer di seluruh dunia telah diprogram untuk menguatkan pertahanannya sambil cuba menyerang lebih banyak mesin.

Conficker, yang memanfaatkan kerentanan dalam perisian Microsoft, telah menjangkiti sekurang-kurangnya 3 juta PC dan mungkin sebanyak 12 juta, menjadikannya botnet besar dan salah satu masalah keselamatan komputer yang paling teruk dalam beberapa tahun kebelakangan ini.

Botnets boleh digunakan untuk menghantar spam dan menyerang laman web lain, tetapi mereka perlu dapat menerima arahan baru. Conficker boleh melakukan dua cara ini: ia boleh cuba untuk melawat laman web dan mengambil arahan atau ia boleh menerima fail melalui rangkaian P-to-P (Peer-to-Peer) yang disulitkan khusus.

[Baca lebih lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows Anda Pada hari terakhir atau lebih, penyelidik dengan Websense dan Trend Micro berkata beberapa PC yang dijangkiti dengan Conficker menerima fail binari lebih dari P-to-P. Pengendali Conficker telah terhalang oleh usaha komuniti keselamatan untuk mendapatkan arah melalui laman web, jadi kini mereka menggunakan fungsi P-to-P, kata Rik Ferguson, penasihat keselamatan senior untuk penjual Trend Micro.

binari memberitahu Conficker untuk mula mengimbas untuk komputer lain yang belum menambal kerentanan Microsoft, kata Ferguson. Kemaskini sebelumnya menghidupkan keupayaan itu, yang membayangkan bahawa pengawal Conficker mungkin menganggap botnet berkembang terlalu besar.

Tetapi sekarang, "ia pasti menunjukkan mereka [pengarang Conficker] sedang berusaha untuk mengawal lebih banyak mesin," kata Ferguson. > Kemas kini baru juga memberitahu Conficker untuk menghubungi MySpace.com, MSN.com, Ebay.com, CNN.com dan AOL.com nampaknya mengesahkan bahawa mesin yang dijangkiti disambungkan ke Internet, kata Ferguson. Ia juga menghalang PC yang dijangkiti daripada melawat beberapa laman web. Versi Conficker sebelum ini tidak akan membiarkan orang melayari laman web syarikat keselamatan.

Dalam sentuhan lain, binari kelihatan diprogramkan untuk berhenti berjalan pada 3 Mei, yang akan menutup fungsi baru, katanya. > Bukan kali pertama Conficker telah dikodkan dengan arahan berasaskan masa. Pakar-pakar keselamatan komputer telah bertahan menghadapi malapetaka pada 1 April, apabila Conficker dijadualkan untuk melawat 500 dari 50,000 laman web rawak yang dihasilkan oleh algoritma dalaman untuk mendapatkan petunjuk baru, tetapi hari berlalu tanpa insiden.

Juga membimbangkan ialah kemas kini baru memberitahu Conficker untuk menghubungi domain yang diketahui bergabung dengan botnet lain yang disebut Waledec, kata Ferguson. Botet Waledec berkembang dengan fesyen yang mirip dengan cacing Ribut, botnet besar yang kini telah pudar tetapi digunakan untuk menghantar spam. Ini bermakna bahawa mungkin kumpulan yang sama boleh dikaitkan dengan ketiga botnet ini, kata Ferguson.

Walaupun Conficker tidak kelihatan telah digunakan untuk maksud jahat, namun masih menjadi ancaman, kata Carl Leonard, riset ancaman pengurus untuk Websense di Eropah. Fungsi P-to-P menunjukkan tahap kecanggihan, katanya.

"Benar-benar mereka telah berusaha keras untuk mengumpul mesin ini," kata Leonard. "Mereka mahu melindungi persekitaran mereka dan melancarkan kemas kini ini dengan cara mereka dapat memanfaatkan mereka dengan sebaiknya."

Tidak semua komputer yang dijangkiti dengan Conficker semestinya akan dikemas kini dengan cepat. Untuk menggunakan fungsi kemas kini P-to-P, PC yang dijangkiti Conficker mesti mencari PC yang dijangkiti yang lain, proses yang tidak segera, Ferguson.

Memandangkan pakar keselamatan berbeza jauh dari berapa banyak komputer yang mungkin dijangkiti

Trend Micro dan Websense kedua-duanya mengingatkan penemuan mereka adalah awal, kerana kemas kini binari masih dianalisis.

Walaupun Microsoft mengeluarkan patch perisian kecemasan pada Oktober lalu, Conficker terus mengambil kesempatan daripada PC yang belum ditambal. Sebenarnya, sesetengah varian Conficker sebenarnya akan menambal kelemahan selepas mesin dijangkiti supaya tiada malware lain boleh memanfaatkannya.