Kompjuterski crv Conficker: dobijena bitka, izgubljen rat
Opisi virusa, 26.01.2011, 09:30 AM

Kompjuterski crv Conficker je možda poražen, ali se ovaj maliciozni program i dalje nalazi unutar sistema milona korisničkih kompjutera širom sveta.
To su zaključci radne grupe za Conficker (Conficker Working Group), koja okuplja proizvođače antivirusa i nekoliko drugih zainteresovanih strana, koji su se udružili 2009. godine u pokušaju da eliminišu pretnju koju on predstavlja.
U dokumentu pod nazivom “Naučene lekcije” (pdf), objavljenom u ponedeljak, radna grupa je iznela tvrdnje da je u potpunosti obustavila komunikaciju Confickera sa njegovim autorom, što je sprečilo njegovo ažuriranje u novije i opasnije verzije. Radna grupa ističe da je posebno ponosna na način na koji su različite organizacije i pojedinici radili zajedno okupljeni oko jednog cilja - bitke protiv Confickera.
Međutim, u izveštaju radne grupe se priznaje da je na neki način rat vođen protiv Confickera izgubljen jer se crv još uvek nalazi na milionima kompjutera širom sveta, a procena je da se taj broj kreće između 4 i 13 miliona. Imajući to u vidu, Conficker ostaje pretnja po bezbednost sve dok njegov kreator ima potencijal ogromnog rezervoara infekcije kojeg čine milioni zaraženih kompjutera korisnika.
Conficker je veoma sofisticirani maliciozni program koji se prvi put pojavio novembra 2008. godine, zarazivši od tada milione kompjutera koji rade sa operativnim sistemima Windows, koji su potom bili uključivani u jednu od najvećih bot (zombi) mreža koje poznaje internet. Bot mreža koju je izgradio Conficker, kontrolisana od strane sajber-kriminalaca, korišćena je za slanje spama i krađu poverljivih podataka. Dok je trajala bitka koju su mesecima između članovi radne grupe za Conficker i autora Confickera, objavljivane su nove varijante crva kako bi se osujetili pokušaji onih koji su se udružili u borbi protiv njega. U borbu protiv Confickera su ušle najveće kompjuterske kompanije, kao što je Microsoft, zatim, veliki proizvođači antivirusnog softvera, istraživači bezbednosti, kompanije za registraciju domena, kao i ICANN i internet provajderi. Samo registracija i blokada domena pre nego Conflicker uspe da ih koristi omogućila je radnoj grupi da onemogući autore crva da dalje usavršavaju svoj maliciozni program. U početku je grupa pokušavala da blokira širenje crva popisom liste domena koje crv koristi za širenje, i predviđanjem i registracijom nasumično generisanih naziva domena koje bi crv mogao da koristi. Ovakav pristup je bio uspešan jer je blokirao glavne metode širenja ranijih verzija crva. Uključivanje ICANN-a u radnu grupu bilo je ključni faktor uspeha kada je reč o gašenju Conflickerovih domena.
Stručnjaci se nisu slagali oko pitanja koliku pretnju zaista predstavlja Conficker. Neki su tvrdili da je crv doživljavan opasnijim nego što on to usitinu jeste. U radnoj grupi za Conficker veruju da su njihovi napori pomogli da se spreči širenje Confickera ali priznaju da autori crva nisu do kraja iskoristili njegove najopasnije potencijale.
“Moguće je da je nivo pažnje koja je data crvu uplašila autora,” kaže se u izveštaju radne grupe. “Takođe je moguće da je autor čekao neki kasniji trenutak ili nekog ko će platiti korišćenje bot mreže.”
Ako ništa drugo, oni koji se bave bezbednošću naučili su da je umesto da budu konkurencija jedni drugima bolje da sarađuju u borbi protiv pretnje kakva je Conflicker, kaže Hoze Nazario, istraživač kompanije Arbor Networks koja je takođe deo radne grupe za borbu protiv Conflickera.
C-verzija crva, objavljena 2009. godine, bila je odgovor na napore radne grupe - generisalo se nasumično 50000 domena dnevno sa 116 lokacija širom sveta, čime je posao blokiranja registracije malicioznih domena za radnu grupu bio znatno teži. Tada je isključivo tehnički pristup radne grupe pokazao ograničenja, kaže Nazario.
Ideje o potpunoj eliminaciji crva poput one o isporučivanju miliona CD-ova korisnicima koji bi uključivali paket sačinjen od pesama, demo verzija igrica ili drugog atraktivnog sadržaja bile su na žalost odbijene.
Jedan od dobrih modela za borbu je operacija koju je sprovela holandska sajber-policija protiv aktera bot mreže Bredolab, nakon čega su svi računari zaraženi Bredolabom bili preusmeravani na veb-stranicu na kojoj se nalazilo uputstvo za uklanjanje malicioznog programa sa računara.
Nazario kaže da je takav model moguć u zemlji kakav je Holandija u kojoj javnost veruje u motive i sposobnosti vlasti, i gde su takve aktivnosti podržane odgovarajućom pravnom regulativom. Međutim, takav model nije moguće primeniti globalno.
Još uvek nije jasno ko je stvorio Conflicker i zbog čega. Bilo je mišljenja da je crv, koji je kraće vreme korišćen za distribuciju scareware programa, dizajniran sa namerom da skrene pažnju sa drugih, mnogo opasnijih programa ili ciljanih napada.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade