20/02-09   -   Pressemeddelelse

Mindst 9000 maskiner i Danmark er inficeret med Conficker ormen

Den seneste statistik, som CSIS har lavet angående Conficker/Downadup ormen, afslører at mindst 9000 maskiner i Danmark er inficeret med denne skadelige netværksorm. Ormen spreder sig bl.a. ved at udnytte et hul i mange versioner af Microsoft Windows.

Netop nu er flere end 10 millioner maskiner på globalt plan inficeret en skadelig netværksorm som går under navnet "Conficker" eller "Downadup". Vores seneste optælling af inficerede maskiner, som befinder sig i Danmark og som er, eller har været, inficeret med enten variant A eller B af denne orm afslører, at lidt over 9000 maskiner er berørt. Lad os slå fast med det samme: ormen har intet med informationstyven Patcher at gøre, men ormen udgør fortsat en betydelig trussel mod danske virksomheder.

Den ukrainske forbindelse?
Conficker/Downadup kan være udviklet af it-kriminelle fra Ukraine. Formålet med ormen har primært være at sprede sig fra et sårbart system til et andet primært igennem en payload der udnytter en fejl i Microsoft Windows Server Services over RPC port 445 (MS08-067). Ormen spreder sig endvidere igennem USB drev og tilgængelige ressourcer og shares beskyttet af svage passwords. Den kravler således typisk ind i et netværk via hjemmearbejdspladser eller flytbare medier. Ormen vil imidlertid undgå at inficere maskiner der er konfigureret med et Ukrainisk tastetur layout og dermed kan personen eller personerne bag ormen let ske at stamme i Ukraine.

Som tidlige omtalt er lidt over 9000 danske PC´ere inficeret med denne orm. Tallet er reelt større, idet vi udelukkede er i stand til at se den eksterne IP adresse og ikke lokale IP adresser bag en NAT boks.

Den seneste optælling af inficerede maskiner i Danmark findes herunder:

Downadup-A - 3,590
Downadup-B - 5,480
Samlet antal - 9,070

Ormen er designet så den hotpatcher hukommelsen på det system den har inficeret. På den måde kan andre orme ikke overtage kontrollen med et allerede inficeret system ved at udnytte Server Services (lappet med MS08-068) sårbarheden. Det er heller ikke muligt at "hijacke" et af de domæner der dannes igennem ormens indbyggede domæne algorimte og herfra udstede ordre. B-varianten har nemlig taget højde for at andre rivaliserende bander kunne finde på at gøre det ved at indbygge en krypto funktion der kræver at en opdatering der trækkes ned af ormen, som led i dens opdateringsmekanisme, skal være digitalt signeret. På den måde undgår Downadup/Conficker ormen også at der udvikles et "removal" tool som automatisk distribueres fra et domæne der kontrolleres af f.eks. et antivirus eller andet it-sikkerhedsfirma.

Det er yderst tvivlsomt om Downadup/Conficker nogensinde vil forsøge at opdatere sig selv. Samlet set er den indbyggede algoritme i henholdsvis A og B varianten i stand til at genere lidt over 70,000 domæner der, efter bandens frie valg, kan anvendes som opdateringsplatform. Men algoritmen er baseret på tid og dato på den inficerede maskine (som også synkroniseres af ormen) og kan derfor kalkuleres. Flere sikkerhedsfirmaer og Microsoft har allerede systematisk opkøbt domæner som ormen kunne anvende til at mutere.

Vi holder naturligvis løbende øje med denne trussel og har allerede proaktivt oprettet 80,000 domæner i CSIS Sec-DNS blacklist så vores kunder er beskyttet mod ormens opdateringsfunktion og samtidig kan alarmeres hvis den slipper ind i virksomhedens netværk.

Vi har tidligere publiceret tekniske analyser af Conficker/Downadup ormen.

http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=758
http://www.csis.dk/dk/nyheder/nyheder.asp?tekstID=769

Det bedste råd mod denne orm er fortsat at opdatere sit system med den sikkerhedslap som gratis kan hentes hos Microsoft på adressen:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

Relevant information

http://www.csis.dk