A világvége megint elmarad: Nem támad a hírhedt Conficker féreg május 3-án. Csak átprogramozza magát.
4 perc olvasás
Nem támad a hírhedt Conficker féreg május 3-án. A kártevő csupán az április elején kapott új funkcióit kapcsolja ki ezen a napon.
Nem támad a hírhedt Conficker féreg május 3-án. A kártevő csupán az április elején kapott új funkcióit kapcsolja ki ezen a napon.
Ismét a média fókuszába került az elmúlt napokban a Conficker. Több cikkben olvashattuk, hogy a május 3-ai dátum szerepel a féreg programkódjában, s találgatások jelentek meg arról, mit is tartogatnak a kártevő írói erre a napra. Nos, sietünk megnyugtatni az olvasót: nincs oka aggodalomra. Kutatók már hetekkel ezelőtt megírták: a féreg (pontosabban annak legutóbbi generációja, a Conficker.E) mindössze annyit tesz majd május 3-án, hogy leállítja az április elején kapott új utasítások végrehajtását.
Mi is a május 3-ához vezető út története?
A Confickert tavaly novemberben észlelték először. Egy olyan sérülékenységet támad, amelyet a Microsoft az MS08-067-es biztonsági frissítéssel azonnal orvosolt. Mégis, a kártevő az utóbbi évek legnagyobb fertőzését okozta. Erősen szórnak a becslések arról, hány gépet fertőzött meg világszerte a Conficker — a legkisebb szám 200 ezer, a legnagyobb 10 millió. Akárhogy is, hatalmas tömegről van szó. Egy IBM tanulmány szerint a fertőzések túlnyomó része (58 százaléka) Ázsiában történt. Európa és Dél-Amerika az osztott második-harmadik helyet foglalja el, 18-18 százalékkal. S hogy a fertőzések mekkora kárt okoztak? A New York-i Cyber Secure Institute úgy véli: a Conficker által okozott teljes gazdasági veszteség elérheti a 9,1 milliárd dollárt.
Nyilván sokan emlékeznek: öt kontinens várta rettegve április 1-jét, a Conficker "kommunikációs napját". A beharangozott világvége azonban elmaradt. Pár nappal később azután egyes, Confickerrel fertőzött PC-k a féreg által kiépített P2P hálózaton új bináris állományt kaptak. A kártevő így létrejött új, ötödik generációját a kutatók Conficker.E-nek nevezték el. A frissített féreg olyan PC-k után kutatott, amelyekre nem telepítették a Microsoft MS08-067 jelű biztonsági frissítését, s megpróbált ellátogatni a MySpace.com, MSN.com, eBay.com, CNN.com és az AOL.com site-ra — nyilván azért, hogy megállapítsa: van-e a gépnek internet-kapcsolata. Bizonyos webhelyeket ugyanakkor letiltott.
Ami azonban a lényeg: a Conficker.E két másik kártevőt töltött le a fertőzött gépekre, mégpedig a SpywareProtect2009 elnevezésű hamis védelmi programot és a Waledac vírust. Aktiválódásakor a SpywareProtect2009 50 dollárt kér a felhasználótól a "gép megtisztítása" fejében. Valójában azonban a program csak ál-fenyegetéseket szüntet meg, s az igazi kártevőket meghagyja. A botnet-építő Waledac vírus pedig nagyüzemi spam-terjesztésre specializálódott. Mindez azt jelzi: a Conficker szerzői átgondolt üzleti terv szerint, nyereség reményében dolgoznak.
A Conficker.E kódját tanulmányozó kutatók felfedezték, hogy a program valamennyi, fentebb leírt új féreg-funkciót leállítja május 3-án. Ennyi tehát május 3-a rejtélye. Persze ez nem jelenti azt, hogy vége a veszélynek, hiszen a kártevő szerzői újabb támadásokat szervezhetnek. Annyi azonban bizonyos, hogy a most közelgő újabb nevezetes dátumtól nem kell tartanunk.
"A féreg kifinomult technikája ellenére könnyű megelőzni a fertőzést" — biztosít bennünket Szappanos Gábor, az informatikai biztonsági megoldásokat szállító VirusBuster Kft. víruslaboratóriumának vezetője. — "Ha valaki telepítette a Microsoft MS08-067-es frissítését és naprakészen tartja antivírus programjának vírus-adatbázisát, akkor biztonságban van." Azoknak, akiknek még kérdésük maradt a témával kapcsolatban, azt ajánlja a szakember: olvassák el a VirusBuster tudásbázisának ezzel foglalkozó cikkét