Conficker Worm Nakakakuha ng Evil Twin

Ang mga kriminal sa likod ng kalat na Conficker worm ay nagpalabas ng isang bagong bersyon ng malware na maaaring magpahiwatig ng isang pangunahing paghahalili sa paraan ng pagpapatakbo ng worm.

Ang bagong variant, na tinatawag na Conficker B ++, ay nakita tatlong araw na nakalipas ng SRI International na mga mananaliksik, na nag-publish ng mga detalye ng bagong code sa Huwebes. Sa hindi pinag-aralan mata, ang bagong variant ay mukhang halos magkapareho sa nakaraang bersyon ng uod, Conficker B. Ngunit ang B ++ variant ay gumagamit ng mga bagong diskarte upang i-download ang software, na nagbibigay ng higit na kakayahang umangkop sa mga tagalikha sa kung ano ang maaari nilang gawin sa mga nahawaang machine.

Maaaring gamitin ang mga makina na natukoy na conficker para sa mga bastos na bagay - pagpapadala ng spam, pag-log ng keystroke, o paglunsad ng pagtanggi ng serbisyo (DOS) na pag-atake, ngunit isang ad hoc group na tumatawag sa sarili na ang Conficker Cabal ay higit na pumigil sa ito na mangyari. Iningatan nila ang Conficker sa ilalim ng kontrol sa pamamagitan ng pag-crack ng algorithm na ginagamit ng software upang mahanap ang isa sa libu-libong punto ng tagpuan sa Internet kung saan maaari itong maghanap ng bagong code. Ang mga panimulang puntong ito ay gumagamit ng mga natatanging pangalan ng domain, tulad ng pwulrrog.org, na ang Conficker Cabal ay nagsikap na magparehistro at magtabi ng mga kriminal.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ginagamit ng bagong variant ng B ++ ang parehong algorithm upang maghanap ng mga punto ng pagtatagpo, ngunit nagbibigay din ito ng mga tagalikha ng dalawang bagong diskarte na laktawan ang mga ito nang buo. Ito ay nangangahulugan na ang pinakamatagumpay na pamamaraan ng Cabal ay maaaring ma-bypass.

Conficker ay sumailalim sa isang malaking pagsulat sa Disyembre, nang ang B variant ay inilabas. Ngunit ang pinakabagong bersyon ng B ++ ay kinabibilangan ng higit pang mga banayad na pagbabago, ayon kay Phil Porras, isang direktor ng programa na may SRI. "Ito ay isang higit pang kirurhiko hanay ng mga pagbabago na ginawa nila," sinabi niya.

Upang ilagay ang mga bagay sa pananaw: May 297 subroutines sa Conficker B; 39 bagong mga gawain ang idinagdag sa B ++ at tatlong umiiral na mga subroutine ang binago, isinulat ng SRI sa isang ulat sa bagong variant. B ++ ay nagpapahiwatig "ang mga may-akda ng malware ay maaaring humingi ng mga bagong paraan upang matanggal ang pangangailangan para sa mga tagpuan sa Internet nang sama-sama," ayon sa ulat.

Hindi masasabi ni Porras kung gaano kalagal ang sirkulasyon ng Conficker B ++ ngunit unang lumabas ito noong Pebrero 6, ayon sa isang mananaliksik gamit ang sagisag na Jart Armin, na gumagana sa Web site ng Hostexploit.com, na nag-susubaybay ng Conficker.

Kahit na hindi niya alam kung ang B ++ ay ginawa bilang tugon sa trabaho ng Cabal, "ginagawa nito Ang botnet ay mas matatag at ito ay nagpapagaan sa ilan sa mga gawain ng Cabal, "sabi ng Suporta sa Intelligence CEO na si Rick Wesson sa isang interbyu ng e-mail.

Kilala rin bilang Downadup, ang Conficker ay kumakalat gamit ang iba't ibang mga diskarte. Pinagsasamantala nito ang isang mapanganib na bug sa Windows upang i-atake ang mga computer sa isang lokal na lugar ng network, at maaari rin itong kumalat sa pamamagitan ng mga aparatong USB tulad ng mga camera o storage device. Ang lahat ng mga variant ng Conficker ay nakaranas na ngayon ng mga 10.5 milyong computer, ayon sa SRI.