Conficker Worm slaat terug met nieuwe variant

De Conficker / Downadup-worm is op zijn hoogtepunt op miljoenen pc's terechtgekomen, maar nadat deze in eerste instantie een computer had geïnfecteerd, trad deze alleen op om zichzelf te verspreiden en veroorzaakte geen verdere schade. Tot nu toe.

Symantec meldt vandaag dat het een nieuwe variant van de virulente worm heeft gevonden die antivirussoftware of beveiligingsanalysetools op de geïnfecteerde pc zal detecteren en die programma's probeert te stoppen. Dit is een sterk signaal dat de mysterieuze makers van de worm hun creatie niet hebben opgegeven in het kader van wereldwijde aandacht, zoals sommigen in de industrie hebben getheoretiseerd, maar misschien nog steeds plannen hebben om hun geld te verliezen.

Vincent Weafer, Vice President, Symantec Security Response, zegt dat het bedrijf de nieuwe variant alleen heeft gezien als een update die is verzonden naar een bestaande worm op een honeypot (een machine die met opzet is geïnfecteerd om te kijken naar updates en wijzigingen). Symantec heeft deze functionaliteit nog niet gezien in een nieuwe wormvariant die zich alleen kan verspreiden, zegt Weafer, maar dat komt mogelijk.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Bovendien tegen de beveiligingssoftware, een veelgebruikte tactiek voor malware, breidt de nieuwe functionaliteit ook de lijst met domeinen uit. Conficker zal elke dag controleren op updates van 250 tot 50.000. Dit is een duidelijke poging om een ​​industriecoalitie tegen te werken die elke dag de toegang tot die domeinen probeert te blokkeren.

Die coalitie is grotendeels succesvol, zegt Weafer, maar hoewel het vermogen van de worm om een ​​domein te bereiken voor een update veel lager is, is het niet nul. En als een geïnfecteerde pc in een netwerk door kan sluipen om deze update op te halen, kan deze mogelijk worden verspreid naar andere al geïnfecteerde pc's met behulp van een peer-to-peer-vaardigheid. Weafer schat huidige infecties in de honderdduizenden, een daling van miljoenen na een zware wereldwijde opruimactie.

Ook is Symantec nog steeds bezig met het onderzoeken van de nieuwe code, volgens Weafer, en kan hij nog steeds andere nieuwe trucs vinden in de nieuwe variant.

Om u te beschermen tegen de Conficker-worm, moet u eerst controleren of u de patch hebt geïnstalleerd die een gericht gat in de Microsoft Server-service sluit. Bescherm vervolgens alle netwerkshares en beheerdersaccounts met een sterk wachtwoord, want Conficker zal proberen een eenvoudig wachtwoord te raden.

Ten slotte kunt u de derde infectie van de worm blokkeren, die thumbdrives en andere verwijderbare media kaapt, door Autorun op Windows uit te schakelen. PC World heeft een download beschikbaar die deze stap voor Windows XP-gebruikers kan automatiseren en Microsoft heeft handmatige instructies geplaatst. Controleer mijn oorspronkelijke Conficker-post voor meer informatie over de verspreiding ervan.