O Worm Conficker Obtém um Gémeo Mal

Os criminosos por trás do worm Conficker A nova variante, apelidada de Conficker B ++, foi descoberta há três dias pelos pesquisadores da SRI International, que publicaram detalhes do novo código na Internet. Quinta-feira. Para o olho destreinado, a nova variante parece quase idêntica à versão anterior do worm, Conficker B. Mas a variante B + + usa novas técnicas para baixar software, dando aos seus criadores mais flexibilidade no que eles podem fazer com máquinas infectadas.

As máquinas infectadas pelo Conficker podem ser usadas para coisas desagradáveis ​​- enviando spam, registrando as teclas digitadas ou iniciando ataques de negação de serviço (DoS), mas um grupo ad hoc que se auto-denomina Conficker Cabal impediu amplamente que isso acontecesse. Eles mantiveram o Conficker sob controle quebrando o algoritmo que o software usa para encontrar um dos milhares de pontos de encontro na Internet onde ele pode procurar por um novo código. Esses pontos de encontro usam nomes de domínio exclusivos, como o pwulrrog.org, que o Conficker Cabal tem trabalhado arduamente para se registrar e ficar longe das mãos dos criminosos.

[Leia mais: Como remover malware do seu PC com Windows]

A nova variante do B ++ usa o mesmo algoritmo para procurar pontos de encontro, mas também dá aos criadores duas novas técnicas que os ignoram completamente. Isso significa que a técnica mais bem-sucedida da Cabala poderia ser contornada.

O Conficker passou por uma grande reescrita em dezembro, quando a variante B foi lançada. Mas esta última versão do B ++ inclui mudanças mais sutis, de acordo com Phil Porras, diretor de programas da SRI. "Este é um conjunto de mudanças mais cirúrgico que eles fizeram", disse ele.

Para colocar as coisas em perspectiva: havia 297 sub-rotinas no Conficker B; 39 novas rotinas foram adicionadas em B ++ e três sub-rotinas existentes foram modificadas, SRI escreveu em um relatório sobre a nova variante. O B ++ sugere que "os autores de malware podem estar buscando novas maneiras de evitar a necessidade de pontos de encontro na Internet", afirma o relatório.

Porras não pôde dizer quanto tempo o Conficker B ++ esteve em circulação, mas apareceu pela primeira vez em 6 de fevereiro., de acordo com um pesquisador usando o pseudônimo Jart Armin, que trabalha no site Hostexploit.com, que rastreou o Conficker.

Embora ele não saiba se o B ++ foi criado em resposta ao trabalho da Cabala, "ele faz o botnet mais robusto e mitigar alguns dos trabalhos da Cabal ", disse o CEO da Intelligence Support Rick Wesson em uma entrevista por e-mail.

Também conhecido como Downadup, o Conficker se espalha usando uma variedade de técnicas. Ele explora um bug perigoso do Windows para atacar computadores em uma rede local, e também pode se espalhar através de dispositivos USB, como câmeras ou dispositivos de armazenamento. Todas as variantes do Conficker já infectaram cerca de 10,5 milhões de computadores, de acordo com o SRI.