Conficker Awakens เริ่มต้นการหลอกลวง

หนอน Conficker จะกลับมาทำงานอีกครั้ง stumping ผู้เชี่ยวชาญด้านความปลอดภัยอีกครั้ง หนึ่งในมัลแวร์ที่ออกแบบมาอย่างประณีตที่สุดเมื่อเร็ว ๆ นี้ได้รับการอัปเดตและในที่สุดก็เริ่มมีพฤติกรรมเหมือนเวิร์มอื่น ๆ ในวันพุธที่ 8 เมษายน บริษัท รักษาความปลอดภัยได้เริ่มเห็นรูปแบบ Conficker C ซึ่งเป็นรส Conficker ล่าสุดได้รับการอัปเดตผ่านการแชร์ไฟล์แบบ peer-to-peer (P2P) แบบเข้ารหัส ฟังก์ชั่น บริษัท รักษาความปลอดภัย บริษัท เทรนด์ไมโครรายงานว่าคำแนะนำ Conficker ใหม่มาจากเซิร์ฟเวอร์ในเกาหลีและไฟล์ใหม่นี้ถูกสร้างขึ้นเมื่อวันที่ 7 เมษายน 2552 เวลา 07:41:21 การปรับปรุงใหม่นี้ช่วยเพิ่มความสามารถในการป้องกันของ Conficker และฟังก์ชัน Conficker ใหม่จะปิดให้บริการในวันที่ 3 พฤษภาคม 2009

จนถึงวันที่ 3 พฤษภาคม Conficker ที่ได้รับการฟื้นฟูจะค้นหาอินเทอร์เน็ตสำหรับเครื่อง Windows ที่ไม่ติดเชื้อที่ไม่ได้ใช้โปรแกรมปรับปรุงความปลอดภัยของ Microsoft MS08-67 ฟังก์ชันการค้นหาและติดเชื้อนี้ถูกปิดใช้งานใน Conficker รุ่นก่อนหน้าซึ่งน่าจะควบคุมขนาดของบ็อตเน็ตในอนาคต อย่างไรก็ตามดูเหมือนว่าผู้เขียนของ Conficker ได้ทบทวนกลยุทธ์และกำลังมองหาการสร้างการสร้างสรรค์ของพวกเขาอีกครั้ง ตัวแปรบางตัวของ Conficker มีการติดตั้งโปรแกรมเพื่อติดตั้งคอมพิวเตอร์ที่ไม่ได้รับการติดตั้งและเมื่อ Conficker อยู่ในเครื่องหนอนจะช่วยลดความอ่อนแอเพื่อป้องกันมัลแวร์ประเภทอื่น ๆ ที่ใช้ประโยชน์จากช่องโหว่เดียวกัน

[อ่านเพิ่มเติม: วิธีลบ มัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

เมื่อ Conficker ติดตั้งเครื่องใหม่หรือรีเฟรชเครื่องจะพยายามเชื่อมต่อกับ MySpace.com, MSN.com, Ebay.com, CNN.com และ AOL.com เพื่อยืนยันคอมพิวเตอร์ เชื่อมต่อกับอินเทอร์เน็ต

การหลอกลวงครั้งแรกของ Conficker เผยว่า

Conficker ตัวใหม่นี้ยังเริ่มแสดงสัญญาณของมัลแวร์แบบเดิม การใช้หนึ่งในเทคนิคที่เก่าแก่ที่สุดในหนังสือชื่อ scareware โปรแกรม Conficker C ดาวน์โหลดโปรแกรมป้องกันไวรัสปลอมชื่อ Spyware Protect 2009 (ภาพ) F-Secure กล่าวว่ามันเรียกว่า Spyware Guard 2008 โปรแกรมปลอมแล้วส่งข้อความป๊อปอัปแจ้งให้คุณทราบว่าคอมพิวเตอร์ของคุณติดไวรัส แต่เพียง $ 49.95 โปรแกรมป้องกันไวรัสปลอมสามารถลบมัลแวร์ได้ จากนั้นคุณจะถูกนำไปยังเว็บไซต์ปลอมที่คุณใส่ข้อมูลบัตรเครดิตของคุณโดยไม่เจตนาและอาชญากรก็หัวเราะตลอดทางไปที่ธนาคาร - นั่นคือธนาคารของคุณ การหลอกลวง scareware ดูเหมือนจะมาจากเซิร์ฟเวอร์ในยูเครนตามวอชิงตันโพสต์ Conficker: Spambot ปลอมตัว?

Conficker เป็นส่วนเล็กน้อยของการเขียนโปรแกรมดูเหมือนจะเชื่อมต่อกันในทางใดทางหนึ่ง หนอน Waledac - และ Waledac เองจะถือเป็นการปรับปรุงของพายุหนอน ไม่มีความเห็นพ้องกันเกี่ยวกับสิ่งที่ Conficker กำลังทำอยู่จริง แต่ บริษัท รักษาความปลอดภัย F-Secure กล่าวว่า Conficker กำลังไปที่โดเมนที่รู้จักกันในชื่อ Waledac และดาวน์โหลดเวิร์ดวอล ขณะที่เทรนด์ไมโครกล่าวว่า Conficker กำลังดาวน์โหลดโค้ดบางส่วนจากโดเมน Waledac แต่ บริษัท รักษาความปลอดภัยต้องการศึกษาเพิ่มเติมก่อนยืนยันการเชื่อมต่อ Conficker-Waledac อย่างไรก็ตาม Trend Micro ชี้ให้เห็นว่า Conficker อาจเตรียมพร้อมสำหรับการทำงานเป็น botnet สแปมขนาดใหญ่ซึ่งเป็นหน้าที่ของหนอน Waledac ที่รู้จักกันดี

Conficker: มากกว่าตรงกับตา

เห็นได้ชัดว่า Conficker ใหม่มีเทคนิคมากขึ้น แขนเสื้อที่นักวิจัยยังค้นพบ ในขณะที่ทีมรักษาความปลอดภัยพยายามค้นพบเทคนิคและการปรับแต่งล่าสุดของ Conficker พวกเขารู้ว่า Conficker กำลังตื่นตัวอยู่และผู้เขียนของหนอนกำลังเริ่มใช้เครื่องที่ติด Conficker เพื่อหาเงิน ขณะที่นักวิจัยด้านความปลอดภัยเริ่มคลี่คลายความลึกลับรอบ ๆ Conficker เวอร์ชันล่าสุดคุณสามารถป้องกันตัวเองจากหนอนโดยการทดสอบครั้งแรกได้

ระบบของคุณสำหรับการติดเชื้อแล้วโดยการทำให้แน่ใจว่าคุณมีโปรแกรมปรับปรุงความปลอดภัยล่าสุดของ Microsoft และโปรแกรมป้องกันไวรัสของคุณได้รับการอัปเดตอยู่เสมอ Conficker Working Group มีการทดสอบง่ายๆเพื่อดูว่าคุณติดไวรัส Conficker หรือไม่