Grupo Conficker diz Worm 4,6 milhões Strong

Especialistas em segurança dizem que o worm Conficker está infectado uma enorme quantidade de computadores, tornando-se o maior "botnet" de computadores hackeados no planeta. A coisa com a qual eles não parecem concordar, no entanto, é exatamente quantas pessoas foram atingidas.

O grupo de pesquisadores que tem acompanhado mais de perto - e lutado - o worm agora divulgou sua própria estimativa de Tamanho do conficker. De acordo com dados compilados pelo Conficker Working Group, o Conficker foi visto em pouco menos de 4,6 milhões de endereços IP exclusivos. Suas versões anteriores A e B são responsáveis ​​pela maior parte desse número - 3,4 milhões de endereços IP - com a mais recente versão C de 1,2 milhão de endereços.

Os países que medem o maior número de infecções para todas as variantes são a China., Brasil e Rússia

[Leia mais: Como remover malware do seu PC com Windows]

O Conficker infecta máquinas Windows desde outubro, mas nas últimas semanas tem recebido muita atenção como uma nova versão do o worm, Conficker.C, atualizou a maneira como procura instruções, tornando muito mais difícil de ser interrompido

No último final de semana, o Conficker infectou cerca de 800 PCs no Centro de Ciências da Saúde da Universidade de Utah. A equipe de TI acha que pode ter entrado na rede por meio de um pen drive infectado. Uma vez instalado em um PC, o Conficker é muito eficaz em procurar outras máquinas Windows sem patch para se espalhar.

Os usuários que se perguntam se estão infectados pelo worm podem experimentar este teste simples desenvolvido pela SecureWorks.

Estudos feitos dois Há algumas semanas, o OpenDNS e o grupo IBM Security Systems sugeriram que até 4% dos PCs poderiam ter sido atingidos pelo worm Conficker, mas a análise do grupo de trabalho sugere que o número provavelmente será muito menor.

"Estamos esperando que publicar esses números vai colocar um pouco de realidade na equação ", disse Andre DiMino, cofundador da The Shadowserver Foundation e membro do Grupo de Trabalho. Ele não acredita que 4% dos PCs estejam infectados. "É difícil justificar isso agora", disse ele.

Mas o número real de infecções pode ser maior ou menor que 4,6 milhões, admitiu DiMino. Como o método do Grupo de Trabalho conta os endereços IP, eles podem ter contado em excesso os consumidores que fazem logon a partir de vários endereços IP ou infecções corporativas, que geralmente ficam ocultas atrás de um único endereço IP.

OpenDNS, IBM e o Grupo de Trabalho usaram técnicas diferentes para chegar às suas estimativas, mas todas elas dependem do fato de que as máquinas infectadas precisam fazer check-in com um servidor de "comando e controle" para instruções. O Grupo de Trabalho obteve seus dados instalando servidores "sumidouros" em pontos na Internet usados ​​por máquinas infectadas para baixar instruções. Eles fizeram isso assumindo os domínios da Internet que o Conficker está programado para visitar para procurar essas instruções.

O número de infecções medidas pelo Grupo de Trabalho está de acordo com suas estimativas de variantes anteriores do worm, disse DiMino. "Nem todos os As e Bs foram transformados em Cs", disse ele.

Para complicar ainda mais, uma nova variante do Conficker foi vista na semana passada, e esta se comunica principalmente usando técnicas peer-to-peer, que não são facilmente medidos pelos servidores de sumidouro do Grupo de Trabalho. Isso significa que o grupo provavelmente precisará desenvolver uma nova maneira de contar as infecções, como a variante peer-to-peer se espalha, DiMino disse.

Embora os dados do Grupo de Trabalho sejam, à primeira vista, bem diferentes dos da IBM, seus resultados Não é uma surpresa, de acordo com Holly Stewart, gerente de resposta a ameaças do Internet Security Systems (ISS) da IBM. É "muito difícil" consertar o tamanho do botnet, ela disse. "Eu não acho que alguém tenha uma resposta perfeita", disse ela. "Eles têm um ponto de dados e temos outro ponto de dados."

"Se você me perguntar qual é o verdadeiro número", ela acrescentou, "não sabemos".