Az elmúlt hetekben különös figyelmet kapott a Conficker vírus, mely felfedezéséig és a védelmi technikák megjelenéséig sokmillió gépet fertőzhetett meg (pontos számot természetesen senki nem tud, de egyes becslések szerint akár 12 millió zombigép is része lehet a kialakult bothálózatnak). A kiemelt érdeklődést az okozta, hogy a vírus kódjában szerepel az április elsejei dátum, amikor a hálózatban lévő gépek elkezdenek kapcsolatokat keresni. Mindössze ennyi a biztos információ, de hogy pontosan mi is lesz az az akció, amit a botnet végrehajt, nem lehet tudni, s azt sem, hogy tényleg holnap történik-e.

De mi is az a Conficker?

A Conficker (más néven Downadup) az elmúlt évek egyik legkomolyabb számítógépes férge, mely addig, amíg a Microsoft tavaly októberben nem adott ki biztonsági frissítést a Windowshoz (ugyanis az operációs rendszer sebezhetőségét használta ki a vírus a fertőzéshez és terjedéshez), több millió gépet tehetett egy bothálózat részévé. Ez volt az A változat, de év végén már meg is érkezett a B-verzió, mely tovább szaporította a zombigépek számát. S ekkor még nem volt vége, mert megjelent a C, majd márciusban a Conficker.D is. (Az egyes változatok elnevezései változóak, attól függően, hogy melyik cég terminológiáját használjuk, a fentiek a Microsoft megjelölései.) Az új változatok csak a már megfertőzött gépekre, illetve a biztonsági javítással nem rendelkező rendszerekbe települtek fel.

A különféle féregváltozatok naponta több száz (a D-variáns esetében már napi ötvenezer) tételből álló URL-listákat hoznak létre, melynek az a célja, hogy biztosítsák az irányítási lehetőséget a crackerek számára.

Az április elsejei dátum része a féreg kódjának, ezért feltételezhető, hogy valami fog történni a hálózatban, amelynek nagyságával kapcsolatban legjobb esetben is csak hozzávetőleges becsléssel rendelkeznek a szakemberek – a különféle cégek a zombik számát 1-12 millió közé teszik, ám a legoptimistább becslés esetén is hatalmas botnetről van szól. Épp ezért a Microsoft pénzdíjat tűzött ki a vírus írójának fejére.

Mi várható holnap?

Senki sem tudja. A Computerworld elemzésének sommás megállapítását alátámasztja az általunk megkérdezett két szakértő is: mind Szappanos Gábor, a Virusbuster víruslaboratóriumának vezetője, mind pedig Leitold Ferenc, az eset.hu számára a vírusleírásokat elkészítő szakember úgy véli, hogy azt csak holnap fogjuk megtudni, hogy mire készítették fel a férget, addig fölöslegesen spekulálunk.

Még az is megeshet, hogy április elsejei tréfáról vagy figyelemelterelő akcióról van szó, mivel a botnetek üzemeltetői már nem a tudásukat fitogtató régi vágású hackerek, hanem crackerek, az anyagi haszonra hajtó számítógépes bűnözők, akik csöndben szeretik végezni tevékenységüket, hiszen például egy adatlopási akció addig hatékony, amíg fel nem fedezik, s az sem szerencsés az ő szempontjukból, ha felfedik a hálózatot.

Védekezés a Confickerrel szemben

Azt, hogy meg van-e a gépünk már fertőzve, egyszerűen megtudhatjuk: el kell látogatni egy olyan oldalra, melyet a Conficker blokkol. Ilyenek például a microsoft.com, a symantec.com, mcafee.com, a secureworks.com (a teljes lista az SRI International oldalán olvasható). Ha nem sikerül belépnünk, akkor jelen van a gépen a féreg.

Ekkor le kell futtatni egy Conficker-eltávolító programot, ezekből már jó néhány rendelkezésre áll: például az F-Secure-től, a McAfee-től vagy a Symantectől is lehet tölteni ilyen eszközt (a fertőzött géppel ez nem fog menni, ezért egy tiszta gépre kell letölteni, majd egy hordozható tárolóról futtatni). Majd azonnal el kell látogatni a Microsoft weboldalára a biztonsági javításért, és telepíteni kell azt.

Ezek után természetesen fokozottan kell arra figyelni – ha eddig nem tettük volna –, hogy a vírusvédelmi szoftverünk mindig naprakész legyen, hogy a változó vírusok ellen védjük a számítógépünket, illetve a Windows-frissítésekre is ügyelnünk kell, hiszen például a februári javítás, mely letiltja az automatikus futtatást, igen fontos lehet, ugyanis a Conficker a hordozható tárolókon is terjed.