Conficker Group Says Worm 4.6 Million Strong

Sinasabi ng mga eksperto sa seguridad na ang Conficker worm ay nahawaan isang kakila-kilabot na maraming mga computer, na ginagawa itong ang pinakamalaking "botnet" ng mga na-hack na computer sa planeta. Ang bagay na hindi nila maaring sumang-ayon, gayunpaman, ay eksakto kung gaano karaming mga tao ang na-hit.

Ang pangkat ng mga mananaliksik na masusing pagsubaybay - at nakikipaglaban - ang worm ay naglabas na ng sarili nitong pagtatantya Laki ng Conficker. Ayon sa data na pinagsama-sama ng Conficker Working Group, nakita si Conficker sa ilalim lamang ng 4.6 milyong natatanging mga IP address. Ang mga naunang A at B variants ay tumutukoy sa bahagi ng leon na - 3.4 milyon na mga IP address - na may higit na kamakailang C variant na nakita sa 1.2 milyong mga address.

Ang mga bansa na sumusukat sa pinakamalaking bilang ng mga impeksiyon para sa lahat ng variant ay China, Brazil at Russia.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Nagkakalat ang Conficker ng mga makina ng Windows simula noong Oktubre, ngunit sa kamakailang mga linggo nakakakuha ito ng maraming pansin bilang isang mas bagong bersyon ng Ang worm, Conficker.C, ay na-update ang paraan ng pagtingin nito sa mga tagubilin, na ginagawang mas mahirap na huminto.

Sa nakalipas na katapusan ng linggo, ang Conficker ay may impeksyon na halos 800 PCs sa University of Utah's Health Sciences Center. Iniisip ng mga tauhan ng IT doon na maaaring makuha ito sa network sa pamamagitan ng nahawahan na thumb drive. Sa sandaling naka-install sa isang PC, ang Conficker ay napaka-epektibo sa paghahanap ng iba pang mga unpatched Windows machine upang kumalat.

Ang mga gumagamit na nagtataka kung sila ay nahawaan ng uod ay maaaring subukan ang simpleng pagsubok na ito na binuo ng SecureWorks. linggo na ang nakalipas ng OpenDNS at IBM's Internet Security Systems group ay iminungkahi na kasing dami ng 4 na porsyento ng mga PC ay maaaring na-hit sa Conficker worm, ngunit ang pagtatasa ng Paggawa Group ay nagpapahiwatig na ang bilang ay malamang na mas mababa.

"Kami ay umaasa na ang pag-publish ng mga numerong ito ay magtatapon ng kaunting katotohanan sa equation, "sabi ni Andre DiMino, cofounder ng The Shadowserver Foundation at isang miyembro ng Working Group. Hindi siya naniniwala na ang 4 na porsiyento ng mga PC ay nahawahan. "Mahirap gumawa ng kaso para sa na ngayon," sinabi niya.

Ngunit ang aktwal na bilang ng mga impeksiyon ay maaaring mas mataas o mas mababa kaysa sa 4.6 milyon, si DiMino ay pinapapasok. Dahil ang paraan ng Pagtatrabaho Group ay binibilang ang mga IP address, maaari silang magkaroon ng over-counted na mga mamimili na nag-log mula sa maraming mga IP address, o hindi nakuha na mga impeksyon sa korporasyon, na kadalasang nakatago sa likod ng isang IP address.

OpenDNS, IBM at ang Working Group gumamit ng iba't ibang mga diskarte upang makarating sa kanilang mga pagtatantya, ngunit lahat sila ay umaasa sa katotohanan na ang mga nahawaang machine ay kailangang mag-check in gamit ang server na "utos at kontrol" para sa mga tagubilin. Nakuha ng Working Group ang data nito sa pamamagitan ng pag-set up ng mga server ng "sinkhole" sa mga punto sa Internet na ginagamit ng mga nahawaang machine upang mag-download ng mga tagubilin. Ginawa nila ito sa pamamagitan ng pagkuha sa mga domain ng Internet na ang Conficker ay na-program upang bisitahin upang maghanap para sa mga tagubiling iyon.

Ang bilang ng mga impeksiyon na sinusukat ng Working Group ay kaayon ng mga pagtatantya nito ng mga naunang variant ng worm, sinabi ni DiMino. "Hindi lahat ng As at Bs ay naging Cs," sabi niya.

Upang palakasin ang mga usapin ng karagdagang, isang bagong variant ng Conficker ay nakita noong nakaraang linggo, at ang isang ito ay nakikipag-usap lalo na gamit ang mga pamamaraan ng peer-to-peer, na ay hindi madaling masusukat ng mga server ng sinkhole ng Working Group. Ito ay nangangahulugan na malamang na kailangan ng grupo na bumuo ng isang bagong paraan ng pagbilang ng mga impeksiyon tulad ng spread na variant ng peer-to-peer, sinabi ni DiMino.

Kahit na ang data ng Paggawa ng Grupo ay, sa unang sulyap, medyo iba sa IBM, ang mga resulta nito ay hindi isang sorpresa, ayon kay Holly Stewart, isang tagatugon na tagatugon sa pagbabanta sa Internet Security Systems ng IBM (ISS). Ito ay "talagang mahirap" upang makakuha ng isang pag-aayos sa laki ng botnet, sinabi niya. "Sa palagay ko ay walang perpektong sagot ang sinuman," sabi niya. "Mayroon silang isang punto ng data at mayroon kaming ibang data point."

"Kung itatanong mo sa akin kung ano ang tunay na numero," idinagdag niya, "hindi namin alam."