Conficker, de nummer 1 bedreiging van Internet, krijgt een update

Botnets kunnen worden gebruikt om spam te verzenden en andere websites aanvallen, maar ze moeten nieuwe instructies kunnen ontvangen. Conficker kan dit op twee manieren doen: het kan proberen een website te bezoeken en instructies op te halen of het kan een bestand ontvangen via zijn op maat gemaakte gecodeerde P-to-P (peer-to-peer) netwerk.

[Verder lezen: Hoe malware van uw Windows-pc te verwijderen]

De nieuwe binary vertelt Conficker om te scannen naar andere computers die de kwetsbaarheid van Microsoft niet hebben hersteld, zei Ferguson. Een eerdere update maakte die mogelijkheid ongedaan, wat liet doorschemeren dat Conficker's controllers misschien dachten dat het botnet te groot was geworden. Maar nu, "het geeft zeker aan dat [de auteurs van Conficker] meer machines willen besturen," zei Ferguson.

De nieuwe update vertelt Conficker ook om contact op te nemen met MySpace.com, MSN.com, Ebay.com, CNN.com en AOL.com om te bevestigen dat de geïnfecteerde computer is verbonden met internet, zei Ferguson. Het voorkomt ook dat geïnfecteerde pc's sommige websites bezoeken. Eerdere versies van Conficker laten mensen niet naar de websites van beveiligingsbedrijven surfen.

In een andere wending lijkt het binaire programma te zijn geprogrammeerd om te stoppen met werken op 3 mei, waardoor de nieuwe functies worden uitgeschakeld, zei hij.

Het is niet de eerste keer dat Conficker is gecodeerd met op tijd gebaseerde instructies. Computerbeveiligingsdeskundigen waren op 1 april verkwistend voor een catastrofe, toen Conficker gepland was om 500 van zo'n 50.000 willekeurige websites te bezoeken die waren gegenereerd door een intern algoritme om nieuwe instructies te krijgen, maar de dag ging voorbij zonder incidenten.

Ook zorgenwekkend is dat de nieuwe update Conficker vertelt om contact op te nemen met een domein waarvan bekend is dat het gelieerd is aan een ander botnet genaamd Waledec, zei Ferguson. Het Waledec-botnet groeide op een manier die vergelijkbaar was met de Storm-worm, een ander groot botnet dat nu vervaagd is maar werd gebruikt om spam te verzenden. Het betekent dat misschien dezelfde groep aan alle drie de botnets kan worden gekoppeld, zei Ferguson. Hoewel Conficker nog niet is gebruikt voor kwaadwillige doeleinden, blijft het een bedreiging, zei Carl Leonard, een dreigingsonderzoek. manager voor Websense in Europa. De P-naar-P-functionaliteit wijst op een niveau van verfijning, zei hij.

"Het is duidelijk dat ze veel moeite hebben gedaan om deze reeks machines te verzamelen," zei Leonard. "Ze willen hun omgeving beschermen en deze updates lanceren op een manier die ze het beste kunnen kapitaliseren."

Niet alle computers die met Conficker zijn geïnfecteerd, worden noodzakelijkerwijs snel bijgewerkt. Om de P-naar-P-updatefunctie te gebruiken, moet een door Conficker geïnfecteerde pc zoeken naar andere geïnfecteerde pc's, een proces dat niet onmiddellijk is, Ferguson.

Aangezien beveiligingsexperts enorm verschillen over het aantal computers dat mogelijk is geïnfecteerd met Conficker, het is moeilijk te zeggen welk percentage de nieuwe update heeft.

Trend Micro en Websense waarschuwen beide dat hun bevindingen voorlopig zijn, omdat de binaire update nog steeds wordt geanalyseerd.

Hoewel Microsoft afgelopen oktober een patch voor noodsoftware heeft uitgegeven, Conficker is blijven profiteren van die pc's die niet zijn gepatcht. Sommige varianten van de Conficker zullen zelfs het beveiligingslek repareren nadat de machine is geïnfecteerd, zodat geen andere malware er misbruik van kan maken.