31/03-09   -   Pressemeddelelse

Conficker orm - hvad sker der 1. april ?

Der har været en del medieomtale af Conficker C ormen der vil prøve at opdatere sig selv fra 1. april. Hvad er risikoen og hvad er baggrunden? Den orm det drejer sig om hedder - alt efter AV leverandør - Conficker eller Downadup og findes i forskellige varianter, som også betegnes med forskellige bogstaver afhængig af AV-leverandør. Nedenfor benyttes de variant-betegnelser som SRI (uafhængig US organisation) anvender i deres analyse der er det mest detaljerede der er offentliggjort om Conficker.

Den første variant Conficker-A begyndte at sprede sig i november 2008 og benyttede sig bl.a. af sikkerhedshullet i Microsoft Server Servicen der blev rettet med en sikkerhedsopdatering MS08-067 i oktober 2008. Derefter fulgte i december 2008 variant B og senere B++.

Før SRI udsendte sin første rapport 4. februar 2009 forlød det at der var 9 mill. inficerede og at Danmark var hårdt ramt. SRI påviser at den måde der i starten blev optalt på ikke har taget højde for reinfektion og ligeledes optræder samme maskine med flere DHCP adresser. Af de 10 millioner inficerede SRI optæller er 8971 fra adresser i Danmark. SRI vurderer at de 10 millioner optalte reelt dækker over "mindre end" 4 mill. inficerede maskiner fordelt med ca 25% Conficker A og resten Conficker B.

Disse A- og B-Conficker varianter spreder sig gennem angreb mod MS08-067, brute force password angreb på delte Windows drev og ved at lægge sig ind som Autorun på netværks- og USB drev. De kan derfor imødegås med:

* opdatering hele vejen rundt med MS08-067
* opdateret antivirus
* brug evt. www.OpenDNS.com, som er en gratis DNS service, der blokerer de domæner Conficker prøver at opdatere fra
* sørg for ordentlige passwords på Windows konti
* overvej at slå Autorun fra eller begræns USB-bytning og skriverettigheder til delte drev

Tegn på en inficeret maskine er bl.a.:

* man kan ikke gå på windowsupdate.microsoft.com eller AV-sites (med mindre der bruges proxy server)
* Windows konto kan gå i lockout
* Antivirus kører ikke mere
* Windows opdatering sker ikke

Conficker´s A og B varianter har en algoritme hvor de dagligt generer en liste af 250 domænenavne og chekker for opdateringssoftware til ormen. Disse domæner er blevet opkøbt af en anti-Conficker sammenslutning i IT industrien ("Cabal konsortiet") så dette ikke er muligt. Det har derfor tvunget Conficker bagmændene til at udsende en ny variant Conficker-C med en anden måde at opdatere på.

Conficker-C spreder sig ikke gennem MS08-067, brute force mod shares eller autorun.inf.

Conficker-C inficerer kun klienter der i forvejen er inficerede med en tidligere Conficker-variant.

Den søger efter dem på netværket og sender dem en opdatering når de findes. Conficker-C er i stand til at finde andre maskiner inficeret med Conficker og opdatere dem med en ny version så der er tale om et P2P netværk der kan eksistere decentralt på Internettet. Conficker bagmændene benytter digital signering så andre kan ikke benytte deres opdaterings facilitet.

Samtidigt har Conficker-C en ny mekanisme hvor man prøver at opdatere fra en central server, men nu vælges 500 ud af en daglig ny liste på 50.000 domæner til dette check. Dette check starter fra 1. april. Man kan blokere disse domæne opslag med www.OpenDNS.com

Conficker-C inficerede PC´er kan fortsat kendes på at en række AV, sikkerheds- og opdaterings domæner er blokerede i maskinens DNS, bl.a. windowsupdate.microsoft.com.

Selv om Conficker-C starter domæne-chekket 1. april er det næppe sandsynligt at en ny variant biver spredt den vej på denne dato.

Med flere millioner inficerede har Conficker-netværket en voldsom "ildkraft", nok til at skabe kaos på hele Internettet eller dele af det hvis det er målsætningen.

Indtil nu er Conficker netværket kun blevet opbygget, så vi mangler at se hvad det skal benyttes til.

Conficker-A har spor til et foretagende i Ukraine, der tidligere har tjent penge på at levere falske antivirus-produkter. Det kan tyde på at bagmændene, når de går i gang med at benytte netværket, vil bruge det til de profitable former for cyber-kriminalitet som vi i forvejen kender, som spamudsendelse, netbanktyveri, phishing osv.

Ole Schmitto, adm. direktør for eSec udtaler "Indtil vi ser hvad hensigten er, vil det være god ide at chekke om der er maskiner hvor AV ikke kører og opdatering ikke finder sted - og få fjernet årsagen, som kan være Conficker. Det er også muligt at få scannet netværket for Conficker inficerede. Maskiner der ikke er inficerede kan ikke opdateres af bagmændene."

Relevant information

http://www.esec.dk