Conficker Awakens, Start Scamming

De Conficker-worm is weer in actie en beveiligingsdeskundigen opnieuw stoten. Een van de meest handig ontworpen stukjes malware kreeg onlangs een update en begint zich eindelijk te gedragen zoals andere wormen. Dit is wat er aan de hand is:

Nieuwe marsorders

Op woensdag 8 april zagen beveiligingsbedrijven enkele varianten van Conficker C, de nieuwste Conficker-smaak, ontvangen updates via de gecodeerde peer-to-peer (P2P) bestandsdeling functionaliteit. Beveiligingsbedrijf Trend Micro meldt dat de nieuwe Conficker-instructies afkomstig zijn van een server in Korea en het nieuwe bestand is gemaakt op 7 april 2009 om 07:41:21. De nieuwe update versterkte Conficker's verdedigingen en de nieuwe Conficker-functies worden op 3 mei 2009 afgesloten.

Tot 3 mei zal het vernieuwde Conficker op internet zoeken naar niet-geïnfecteerde Windows-machines die de Microsoft MS08-67-beveiligingspatch niet hebben toegepast. Deze zoek-en-infecteerfunctie was uitgeschakeld in eerdere Conficker-varianten, vermoedelijk om de grootte van een toekomstig botnet te regelen. Het lijkt er echter op dat de auteurs van Conficker die strategie hebben heroverwogen en hun creatie opnieuw willen laten groeien. Sommige Conficker-varianten zijn ook geprogrammeerd om een ​​niet-gepatchte computer te infecteren. Als Conficker zich eenmaal in de machine bevindt, wordt de zwakke plek door de worm opgelost om andere soorten malware buiten te sluiten die profiteren van dezelfde kwetsbaarheid.

[Meer informatie: Hoe te verwijderen malware van uw Windows-pc]

Zodra Conficker een nieuwe machine infecteert of vernieuwd wordt, probeert het verbinding te maken met MySpace.com, MSN.com, Ebay.com, CNN.com en AOL.com om te controleren of de computer is verbonden met het internet.

Conficker's eerste scam onthulde

De nieuwe Conficker is ook begonnen tekenen van traditionele malware te vertonen. Met een van de oudste trucs in het boek, scareware genaamd, downloadt de nieuwe Conficker C een nep-antivirusprogramma genaamd Spyware Protect 2009 (foto). F-Secure zegt dat het Spyware Guard 2008 wordt genoemd. Het nep-programma geeft vervolgens een pop-upbericht weer waarin staat dat uw computer is geïnfecteerd, maar voor slechts $ 49,95 kan het nep-antivirusprogramma de malware verwijderen. Je wordt vervolgens doorverwezen naar een nep-website waar je onbewust al je creditcardgegevens invoert en de criminelen vervolgens helemaal lachen naar de bank - je bank dus. De scareware-zwendel lijkt afkomstig te zijn van een server in de Oekraïne, volgens de Washington Post.

Blijkbaar heeft de nieuwe Conficker meer trucs te verwerken zijn mouw die onderzoekers nog moeten ontdekken. Hoewel beveiligingsteams proberen alle nieuwste tricks en tweaks van Conficker te onthullen, weten ze dat Conficker wakker is en dat de auteurs van de worm beginnen met het gebruik van met Conficker geïnfecteerde machines om geld te verdienen. Hoe ver dit gaat, is op dit moment onbekend. Waar gaan we heen? Terwijl beveiligingsonderzoekers de mysteries rondom de nieuwste versie van Conficker beginnen te ontrafelen, kun je jezelf beschermen tegen de worm door eerst te testen uw systeem voor infectie en vervolgens door ervoor te zorgen dat u over de nieuwste Microsoft Security-patches beschikt en dat uw antivirusprogramma up-to-date is. De Conficker-werkgroep heeft een eenvoudige test om te zien of u besmet bent met Conficker.