Kompjuterski crv Conficker: dobijena bitka, izgubljen rat

Opisi virusa, 26.01.2011, 09:30 AM

Kompjuterski crv Conficker je možda poražen, ali se ovaj maliciozni program i dalje nalazi unutar sistema milona korisničkih kompjutera širom sveta.

To su zaključci radne grupe za Conficker (Conficker Working Group), koja okuplja proizvođače antivirusa i nekoliko drugih zainteresovanih strana, koji su se udružili 2009. godine u pokušaju da eliminišu pretnju koju on predstavlja.

U dokumentu pod nazivom “Naučene lekcije” (pdf), objavljenom u ponedeljak, radna grupa je iznela tvrdnje da je u potpunosti obustavila komunikaciju Confickera sa njegovim autorom, što je sprečilo njegovo ažuriranje u novije i opasnije verzije. Radna grupa ističe da je posebno ponosna na način na koji su različite organizacije i pojedinici radili zajedno okupljeni oko jednog cilja - bitke protiv Confickera.

Međutim, u izveštaju radne grupe se priznaje da je na neki način rat vođen protiv Confickera izgubljen jer se crv još uvek nalazi na milionima kompjutera širom sveta, a procena je da se taj broj kreće između 4 i 13 miliona. Imajući to u vidu, Conficker ostaje pretnja po bezbednost sve dok njegov kreator ima potencijal ogromnog rezervoara infekcije kojeg čine milioni zaraženih kompjutera korisnika.

Conficker je veoma sofisticirani maliciozni program koji se prvi put pojavio novembra 2008. godine, zarazivši od tada milione kompjutera koji rade sa operativnim sistemima Windows, koji su potom bili uključivani u jednu od najvećih bot (zombi) mreža koje poznaje internet. Bot mreža koju je izgradio Conficker, kontrolisana od strane sajber-kriminalaca, korišćena je za slanje spama i krađu poverljivih podataka. Dok je trajala bitka koju su mesecima između članovi radne grupe za Conficker i autora Confickera, objavljivane su nove varijante crva kako bi se osujetili pokušaji onih koji su se udružili u borbi protiv njega. U borbu protiv Confickera su ušle najveće kompjuterske kompanije, kao što je Microsoft, zatim, veliki proizvođači antivirusnog softvera, istraživači bezbednosti, kompanije za registraciju domena, kao i ICANN i internet provajderi. Samo registracija i blokada domena pre nego Conflicker uspe da ih koristi omogućila je radnoj grupi da onemogući autore crva da dalje usavršavaju svoj maliciozni program. U početku je grupa pokušavala da blokira širenje crva popisom liste domena koje crv koristi za širenje, i predviđanjem i registracijom nasumično generisanih naziva domena koje bi crv mogao da koristi. Ovakav pristup je bio uspešan jer je blokirao glavne metode širenja ranijih verzija crva. Uključivanje ICANN-a u radnu grupu bilo je ključni faktor uspeha kada je reč o gašenju Conflickerovih domena.

Stručnjaci se nisu slagali oko pitanja koliku pretnju zaista predstavlja Conficker. Neki su tvrdili da je crv doživljavan opasnijim nego što on to usitinu jeste. U radnoj grupi za Conficker veruju da su njihovi napori pomogli da se spreči širenje Confickera ali priznaju da autori crva nisu do kraja iskoristili njegove najopasnije potencijale.

“Moguće je da je nivo pažnje koja je data crvu uplašila autora,” kaže se u izveštaju radne grupe. “Takođe je moguće da je autor čekao neki kasniji trenutak ili nekog ko će platiti korišćenje bot mreže.”

Ako ništa drugo, oni koji se bave bezbednošću naučili su da je umesto da budu konkurencija jedni drugima bolje da sarađuju u borbi protiv pretnje kakva je Conflicker, kaže Hoze Nazario, istraživač kompanije Arbor Networks koja je takođe deo radne grupe za borbu protiv Conflickera.

C-verzija crva, objavljena 2009. godine, bila je odgovor na napore radne grupe - generisalo se nasumično 50000 domena dnevno sa 116 lokacija širom sveta, čime je posao blokiranja registracije malicioznih domena za radnu grupu bio znatno teži. Tada je isključivo tehnički pristup radne grupe pokazao ograničenja, kaže Nazario.

Ideje o potpunoj eliminaciji crva poput one o isporučivanju miliona CD-ova korisnicima koji bi uključivali paket sačinjen od pesama, demo verzija igrica ili drugog atraktivnog sadržaja bile su na žalost odbijene.

Jedan od dobrih modela za borbu je operacija koju je sprovela holandska sajber-policija protiv aktera bot mreže Bredolab, nakon čega su svi računari zaraženi Bredolabom bili preusmeravani na veb-stranicu na kojoj se nalazilo uputstvo za uklanjanje malicioznog programa sa računara.

Nazario kaže da je takav model moguć u zemlji kakav je Holandija u kojoj javnost veruje u motive i sposobnosti vlasti, i gde su takve aktivnosti podržane odgovarajućom pravnom regulativom. Međutim, takav model nije moguće primeniti globalno.

Još uvek nije jasno ko je stvorio Conflicker i zbog čega. Bilo je mišljenja da je crv, koji je kraće vreme korišćen za distribuciju scareware programa, dizajniran sa namerom da skrene pažnju sa drugih, mnogo opasnijih programa ili ciljanih napada.