W32Downup, W32downandup, Kido, Conficker: a tavaly november végén felbukkant féregről mostanában keveset ír az IT-sajtó, de ez korántsem jelenti azt, hogy a kártevő kipusztult volna, sőt éppen ellenkezőleg: egyre szedi áldozatit, s immáron legalább 7 millió fertőzött PC írható a számlájára.

Vérdíj

A Symantec biztonságtechnikai cég 2008. november 21-én, pénteken detektálta először az új fenyegetettséget, amely egy, a Windows Server szolgáltatásban megbúvó sérülékenységet használt ki a fertőzéshez (ezzel a szolgáltatással kapcsolódik a Windows összes változata a hálózaton lévő fájl- és nyomtatószerverekhez). A hibát kihasználó exploitok felbukkanása után a Microsoft egy rendkívüli biztonsági javítás formájában ugyan befoltozta a rést, de egy héttel később a támadás hulláma már az otthoni PC-k mellett elérte a nagyvállalatokat is. A Conficker gyorsan mutálódott, 2009 márciusában a harmadik variáns bukkant fel a neten, áprilisban pedig már az ötödik generációról cikkeztek a lapok. A frissített féreg változatlanul olyan PC-k után kutatott, amelyekre nem telepítették a Microsoft MS08-067 jelű biztonsági frissítését – szakemberek szerint sajnos nem csupán a felhasználók hanyag viselkedésére vezethető vissza a patch installálásnak elmaradása, hanem arra is, hogy a hamis Windows-példányok többségén alapértelmezés szerint ki van kapcsolva a javításokat letöltő automatikus frissítés szolgáltatás.

Még februárban a Microsoft ismét visszanyúlt a vadnyugat egyik legismertebb kliséjéhez, és szabályos vérdíjat, 250 ezer amerikai dollárt tűzött ki a Conficker írójának – vagy íróinak – fejére. (2005-ben ugyanennyit fizettek két embernek, akik a Sasser férget elkészítő tinédzser, Sven Jaschan nyomára vezették a rendőrséget.) Redmond egy védelmi kezdeményezést is útjára indított Conficker Cabal néven, a csoportban dolgozó szakemberek elsőként jöttek rá arra, hogy a féreg milyen algoritmus alapján generálja azokat a doménneveket, amelyekről később további kártékony kódokat próbál letölteni. A kiberbűnözők azonban már akkor egy lépéssel előrébb jártak, hiszen a B++ variáns már napokkal később képes volt megkerülni a kiiktatott leltöltőszervereket, sőt akár 50 ezer doménnév-generálásra is alkalmassá tették.

Botnet bolondok napjára

Március végén aztán az „április elsejei frász” mozgatta meg az IT-társadalmat. Az aggodalmakat az okozta, hogy a vírus kódjában egyszerűen szerepelt az április elsejei dátum: ekkor a hálózatban lévő gépek elkezdenek kapcsolatokat keresni. A biztonságtechnikai szakemberek döntő része nyugalomra intette a felhasználókat, már csak azért is, mert a vírus írói minden bizonnyal anyagi haszonra hajtó számítógépes bűnözők, akik csöndben szeretik végezni tevékenységüket, nem pedig világrengető akciókkal kívánnak fontoskodni a társadalom előtt. Végül nem történt semmi eget rengető esemény, a féreg pár nappal később egyszerűen letöltött egy új bináris állományt. A Trend Micro kutatói már ekkor is megjegyezték, hogy a Conficker célja egy világméretű bothálózat létrehozása: a féreg uralma alatt álló zombigépek egyszerűen pénzt fognak termelni különböző kiberbűnözői csoportoknak. A tézist alátámasztotta a kártevő kommunikációja, ugyanis április második hetében a Conficker egy új szubrutinnak köszönhetően a Waledac botnet által felügyelt egyik szerverre csatlakozott fel, mely nagy valószínűséggel a korábban nagy riadalmat keltő Storm botnet utódja.

Az önkéntes biztonsági kutatókból verbuválódott Shadowserver Alapítvány a kártevő instrukciófigyelő algoritmusának visszafejtése és IP-címek naplózásának alapján a múlt csütörtökön jelentette be, hogy a Conficker különféle variánsai ma is legalább 7 millió számítógépen találhatóak meg – hiába a féreg globális ismertsége, a fertőzés egyre csak terjed. Továbbra is rejtély azonban, a Conficker gazdái miért hagyják az általuk kreált kártékony hálózatot kihasználatlanul: világosan látszik, hogy a botnetet rendszeresen karbantartják, mégsem lép akcióba; nem spammel, nem indít támadásokat – hanem csak úgy, van. A Shadowserver néhány szakembere azt mondják, az üzemeltetők nemes egyszerűséggel félnek. Rengeteg pénzt felemésztett ugyanis a Conficker utáni takarítás, így nem nehéz belátni, hogy a féreg alkotóira hosszú börtönévek várhatnak, nem is beszélve arról, micsoda károkat okozhatna egy összehangolt támadás. „A határ a csillagos ég” – öntötte szavakba a kutatók aggodalmát az alapítvány.