Megint a média érdeklődésének fókuszába került az elmúlt napokban a Conficker. Több cikkben olvashattuk, hogy a május 3-ai dátum szerepel a féreg programkódjában, s találgatások jelentek meg arról, mit is tartogatnak a kártevő írói erre a napra. A magyar VirusBuster szakértői szerint azonban nincs ok aggodalomra. Kutatók már hetekkel ezelőtt megírták: a féreg (pontosabban annak legutóbbi generációja, a Conficker.E) mindössze annyit tesz majd május 3-án, hogy leállítja az április elején kapott új utasítások végrehajtását.
A Conficker-sztori
A Confickert tavaly novemberben észlelték először. A féreg egy olyan sérülékenységet támad, amelyet a Microsoft az MS08-067-es biztonsági frissítéssel azonnal orvosolt, a kártevő mégis az utóbbi évek legnagyobb fertőzését okozta. Erősen szórnak a becslések arról, hány gépet fertőzött meg világszerte – a legkisebb szám 200 ezer, a legnagyobb 10 millió. Akárhogy is, hatalmas tömegről van szó. Egy IBM-tanulmány szerint a fertőzések túlnyomó része (58 százaléka) Ázsiában történt, míg Európa és Dél-Amerika a megosztott második helyet foglalja el 18-18 százalékkal. S hogy a fertőzések mekkora kárt okoztak? A New York-i Cyber Secure Institute úgy becsüli, hogy a Conficker által okozott teljes gazdasági veszteség elérheti a 9,1 milliárd dollárt.
Nyilván sokan emlékeznek: öt kontinens várta rettegve április 1-jét, a Conficker „kommunikációs napját”, a beharangozott világvége azonban elmaradt. Pár nappal később azután egyes, Confickerrel fertőzött PC-k a féreg által kiépített P2P hálózaton új bináris állományt kaptak. A kártevő így létrejött új, ötödik generációját a kutatók Conficker.E-nek nevezték el. A frissített féreg olyan PC-k után kutatott, amelyekre nem telepítették a Microsoft MS08-067 jelű biztonsági frissítését, s megpróbált ellátogatni a MySpace.com, MSN.com, eBay.com, CNN.com és az AOL.com szájtokra – feltehetően azért, hogy megállapítsa: van-e a gépnek internetkapcsolata.
Ennél fontosabb, hogy a Conficker.E két másik kártevőt töltött le a fertőzött gépekre, mégpedig a SpywareProtect2009 elnevezésű kamu vírusirtót és a Waledac vírust. Aktiválódásakor a SpywareProtect2009 50 dollárt kér a felhasználótól a „gép megtisztítása” fejében, persze valójában semmit sem csinál, a botnetépítő Waledac pedig nagyüzemi spamterjesztésre specializálódott. Mindez azt jelzi, hogy a Conficker szerzői átgondolt üzleti terv szerint, nyereség reményében dolgoznak.
Félnetek nem kell
A Conficker.E kódját tanulmányozó kutatók felfedezték, hogy a program valamennyi, fentebb leírt új féregfunkciót leállítja május 3-án. Ennyi tehát május 3-a rejtélye. Persze ez nem jelenti azt, hogy vége a veszélynek, hiszen a kártevő fejlesztői újabb támadásokat szervezhetnek. Annyi azonban bizonyos, hogy a most közelgő újabb nevezetes dátumtól nem kell tartanunk – állítja a VirusBuster.
„A féreg kifinomult technikája ellenére könnyű megelőzni a fertőzést. Ha valaki telepítette a Microsoft MS08-067-es frissítését, és naprakészen tartja antivírus programjának vírusadatbázisát, akkor biztonságban van” – nyugtatja a felhasználókat Szappanos Gábor, az informatikai biztonsági megoldásokat szállító cég víruslaboratóriumának vezetője. Azoknak, akiknek még kérdésük maradt a témával kapcsolatban, azt ajánlja a szakember: olvassák el a VirusBuster tudásbázisának ezzel foglalkozó cikkét.
