Confikcer zaczyna zarabiać
Twórcy robaka Conficker zaczęli w końcu robić to, co robią wszyscy właściciele botnetów - zarabiać na swoim produkcie. Specjaliści ds. bezpieczeństwa poinformowali, że najnowsza wersja robaka (wariant E, który pojawił się właśnie w Sieci) pobiera i instaluje na zainfekowanym komputerach dodatkowe złośliwe oprogramowanie.
Conficker.e różni od swoich poprzedników m.in. tym, że pobiera z Sieci i instaluje w zainfekowanych przez niego komputerach dodatkowe złośliwe oprogramowanie. A to po raz pierwszy od pojawienia się robaka pokazuje, w jaki sposób jego twórcy chcą zarabiać.
Z analiz Symanteka wynika, że Conficker.e instaluje w systemie Windows innego botworma (czyli robaka przekształcającego komputer w element botnetu) - o nazwie Waledac. Szkodnik ten uznawany jest za następcę osławionego Storma (pierwszego wielkiego botnetu, rozbitego przez Microsoft). Jego specjalnością jest spamowanie - właściciele botnetu Waledac wynajmują go spamerom do rozsyłania niechcianych e-maili reklamowych.
"Przychodzą mi do głowy dwie teorie. Pierwsza jest taka, że zarówno Waledac, jak i Conficker są dziełami tej samej grupy - lub ewentualnie dwóch ściśle współpracujących ekip. Ale być może twórcy Confickera po prostu sprzedali swój botnet - a nabywcy chcą wykorzystać go do zwiększenia możliwości swojego spamerskiego botnetu" - komentuje Hogan.
Inną metodę zarabiania na Confickerze wykrył Alex Gostev, specjalista ds. wirusów z rosyjskiej firmy Kaspersky Lab - z jego analiz wynika, że nowy wariant instaluje w systemie nie tylko robaka Waledac, ale także oprogramowanie typu scareware, którego zadaniem jest wyłudzanie pieniędzy od użytkownika. Zasada działania jest prosta - scareware wyświetla na zainfekowanym komputerze informacje, że jest on zainfekowany przez wiele groźnych wirusów i że jedynym sposobem na ich usunięcie jest kupienie przez Internet programu antywirusowego. Aplikacja ta zwykle kosztuje kilkadziesiąt USD (w tym przypadku - 50) i nie robi nic, poza... usunięciem komunikatu o zagrożeniu.
Gostev napisał w oficjalnym blogu swojej firmy, że Conficker.e instaluje w systemie scareware o nazwie SpywareProtect2009. Warto jednak dodać, że rewelacji tych nie potwierdzają pracownicy Symanteka - oni podczas analiz robaka nie zauważyli, by instalował coś takiego w zainfekowanym systemie. Kevin Hogan zastrzega jednak, iż to może być dowód na to, że obecni właściciele Confickera dywersyfikują swoje działania i wykorzystują kilka odmian dodatkowego złośliwego oprogramowania.
Warto przypomnieć, że twórcy robaka starali się sprawić, by już pierwsza wersja Confickera - wariant A - zarabiała dla nich. Ta mutacja również próbowała instalować scareware - ale na skutek jakiegoś błędu instalacja fałszywego programu zabezpieczającego nie udawała się. Wersja b i c nie podejmowały takich działań - oba robaki zajmowały się przede wszystkim rozbudowywaniem botnetu. Scareware powrócił w najnowszym wydaniu. Co ciekawe, w wersji E znów pojawiła się możliwość infekowania komputerów przez lukę w Windows Server (autorzy szkodnika usunęli ją z wydania C).
Komentarze (11)
@fffatman No co ty, elektrowstrząsy są niemodne, teraz biofeedback jest na fali :) Chociaż, dla takich uporczywych natręctw może ktoś by zrobił wyjątek...
nie podpisałem się?
@Czareq: Gratuluję dobrego humoru... aż do końca. @tad: Aczkolwiek styl mam zawiły ale nie mam problemu z kontradykcją, tudzież składaniem myśli. @Zeke: Czy ty go nie chcesz przypadkiem elektrowstrząsami?
Conficker się zbroi. Nierozsądnym byłyby zabawy w przepowiednie. To jest naprawdę sprytny programik.
Było do przewidzenia, że inteligentne rozwiązanie zacznie przynosić realne zyski swemu twórcy. Nie to co w przypadków niepoważnych aplikacji tworzonych w namiastkowym VS przez różowych neoconów informatyki.
re Zeke: z pewnością zdaniem tadzia ta uczelnia była pełna lewactwa, a tak naprawdę za infekcję pozostałych instytucji odpowiadał nieobliczalny i pozostający w tyle administrator. Aha, Twój komentarz był spowodowany frustracją i to jest żenujące;)
Z jakiegoś powodu komentarz z linkami nie został dodany. To w skrócie wspomnę: sieć uniwersytetu Utah - 700 maszyn, brytyjski parlament, służba zdrowia i Royal Navy - brak danych o ilości, ale pisze się o _masowych_infekcjach_. Szczegóły - zdnet(dot)com. To teraz czekam, aż Tadziu opowie, że te instytucje używały pirackich wersji, albo że miały niedouczonych administratorów. Przy okazji - tad, taka obsesja na punkcie Linuksa jest do wyleczenia. Poszukaj terapeuty behawioralnego.
@85.222.115.168, po raz pierwszy w artykule o tym wirusie pada stwierdzenie że działa on pod Windows. To musi b. boleć nie móc nic nawrzucać odnośnie nierozważnych użytkowników linuksa, beznadziejnych administratorów linuksowych maszyn itp którzy nadal opierają się jedynie słusznym i bezpiecznym rozwiązaniom z MS.
@fffatman - teraz już wiem, że ciężko ci przychodzi zrozumienie wypowiedzi dłuższych niż kilkuwyrazowych. Czyli, poprawne połaczenie w całość 2 wypowidzi czy 2 artykułów jest zupełnie poza zasięgiem, wiadomo linuks robi swoje.
Najpierw neeris, potem conficker e z waledakiem - twórcy oprogramowania rozpieszczają użytkowników waszych komputerów. A jeszcze tydzień temu, choć jużnie było powodu, "prefesjonalne" media głosiły, że "Robak internetowy Conficker niegroźny". Witamy w świecie profesjonalistów spod znaku tada.
Confikcer ??? To jakaś nowa odmiana ?
- Kingston: Nowa linia dysków SSD
- Microsoft zapowiada nowy system plików - ReFS
- Intel: SSD 520 - nowa linia szybkich dysków
- Praktyczne porady dla administratorów na 2012 rok
- Co powinien wiedzieć każdy specjalista IT?
- Narzędzia dla administratorów sieci
- Windows Intune 3.0 - szansa na perfekcyjne narzędzie?
- Kontrowersyjne decyzje Oracle odnośnie Javy
- Testy penetracyjne pomogą w obronie przed cyberatakami
- 2012 - rok przełomowy dla internetu?
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...