Zero Hour ng Conficker ay Dumating na Walang Kaganapan - Pa

Ang isang inaasahang pagsasaaktibo ng Conficker.c worm sa hatinggabi noong Abril 1 ay lumipas na walang pangyayari, sa kabila ng mga kahina-hinalang takot na ang Internet mismo ay maaaring maapektuhan, ngunit ang mga mananaliksik sa seguridad ay nagsabi na ang mga gumagamit ay wala sa kakahuyan pa. ang mga guys ay walang mga disenyo, sa tingin ko, sa pagkuha down ang imprastraktura, dahil sa na ihihiwalay ang mga ito mula sa kanilang mga biktima, "sinabi Paul Ferguson, isang pananaliksik pananakot sa antivirus vendor Trend Micro, pagtawag sa teknolohiya at disenyo ng Conficker.c bilang" medyo marami estado ng sining. "

" Gusto nilang panatilihin ang imprastraktura at sa lugar upang gawin itong mas mahirap para sa mga mahusay na guys upang kontrahin at pagaanin kung ano ang kanilang orchestrated, "sinabi niya.

[Karagdagang pagbabasa: Paano upang alisin ang malware mula sa iyong Windows PC.

Ang Worm Stirs

Nakareserba ang Conficker.c upang maitatag ang isang link mula sa mga nahawaang host computer na may mga command-and-control server sa hatinggabi GMT noong Abril 1. Upang maabot ang mga kontrol ng mga server, ang Conficker.c ay bumubuo ng isang listahan ng 50,000 mga pangalan ng domain at pagkatapos ay pipili ng 500 domain mga pangalan upang makipag-ugnay. Ang prosesong iyon ay nagsimula, ang mga mananaliksik ay nagsabi.

Eksakto kung gaano karaming mga computer ang nahawaan ng Conficker.c ay hindi pa kilala, ngunit ang tinatayang bilang ng mga system na nahawaan ng lahat ng variant ng Conficker worm ay lumampas sa 10 milyon, na ginagawa itong isa sa pinakamalaking

Habang ang mga nahawaang computer ay nagsimula na umabot sa mga server ng command tulad ng inaasahan, wala nang nangyari ang nangyari.

"Naobserbahan namin na ang Conficker ay umaabot, ngunit sa ngayon wala sa mga server na sinusubukan nilang maabot ay nagsisilbi sa anumang bagong malware o anumang bagong utos, "sabi ni Toralv Dirro, isang strategist sa seguridad sa McAfee Avert Labs, sa Alemanya.

Ito ay maaaring nangangahulugan lamang na ang mga taong kontrolado ni Conficker ay nagbabantay ng kanilang oras, naghihintay ng mga mananaliksik at IT manager

"Ito ay medyo bobo para sa mga guys na nagpapatakbo ng Conficker upang gamitin ang unang posibleng pagkakataon, kapag ang lahat ay nasasabik tungkol dito at tinitingnan ito ng maingat," sabi ni Dirro. "Kung may mangyayari, malamang na mangyayari sa loob ng ilang araw."

Mga Deteksiyon, Pagdaragdag ng Innoculations

Oras ay hindi sa panig ng Conficker. Ang uod ay maaaring madaling nakitang at inalis ng mga gumagamit. Halimbawa, kung ang isang PC ay hindi makakarating sa mga Web site tulad ng McAfee.com, Microsoft.com, o Trendmicro.com na isang indikasyon na ang computer ay maaaring mahawahan.

Bilang karagdagan, ang IT manager ay madaling makita ang trapiko darating mula sa mga kakaibang pangalan ng domain at i-block ang pag-access sa mga computer sa kanilang mga network ng kumpanya. "Ang mga mahabang kriminal ay naghihintay, ang mas kaunting mga nahawaang hukbo na nakuha nila," sabi ni Dirro.

Karagdagang tulong ay mula sa isang maluwag na koalisyon ng mga vendor ng seguridad at iba pa na tinatawag na Conficker Working Group, na magkasama upang harangan ang access sa mga domain na Ang Conficker ay nagsisikap na makipag-usap. Ngunit hindi ito kaagad na malinaw kung ang mga pagsisikap na ito, na naging matagumpay sa pagharang ng mga naunang bersyon ng worm, ay magiging epektibo laban sa pag-activate ng Conficker.c.

"Hindi namin talaga masabi kung gaano matagumpay ang mga pagtatangka sa pagharang sa kanila o hindi direksiyon ang mga ito, "sabi ni Dirro. "Iyan ay isang bagay na makikita natin kapag ang unang domain ay aktwal na nagsisimulang maghatid ng malware, kung hindi bababa sa isang nagsisimula gawin iyon."

Sa kabila ng walang pasubaling paglipas ng deadline ng pag-activate, ang banta na ipinakita ni Conficker ay nananatiling totoo. ang mga guys ay napaka sopistikado, napaka-propesyonal, napaka-determinado at napaka-pantay-pantay sa kung paano nila ipatupad at gumawa ng mga pagbabago sa mga bagay, "ani Ferguson, pagdaragdag na Conficker.c ay mas mahusay na defended at mas survivable kaysa sa nakaraang mga bersyon ng worm. "Ang pag-activate na ito noong Abril 1 ay marahil ay di-makatwirang lamang at napili upang maging sanhi ng isterya."

Sa ilang mga punto, ang mga tao sa likod ng Conficker.c ay maaaring subukan upang makabuo ng kita mula sa botnet na kanilang nilikha o maaari silang magkaroon ng iba pang mga intensyon.

"Ang malaking misteryo ay na mayroong malaking naka-load na baril doon, ang network na ito ng milyun-milyong machine na nasa ilalim ng kontrol ng mga taong hindi alam," sabi ni Ferguson. "Hindi nila ipinahiwatig kung ano ang kanilang mga motibo ay iba sa pag-iisip ng mga tao."