Conficker больше не атакует, а защищается

11/03/2009 10:57

Специалисты по кибербезопасности из Symantec предупреждают об обнаружении очередной разновидности червя Conficker/Downadup, заразившего уже более 10 млн компьютеров. Поведение новой модификации вредоносной программы говорит о том, что её авторы сменили тактику и вместо заражения новых машин озабочены сохранением размеров потенциального супер-ботнета. Предыдущая разновидность червя известна под именами Conficker.C и Downadup.B++, а новый вариант в терминологии Symantec поименован как Downadup.C, что вносит некоторую путаницу. Однако в Symantec именно эта версия, обнаруженная всего несколько дней назад, считается полноценной третьей разновидностью. Особенность Downadup.C состоит в том, что, в отличие от предшественников, его более не заботит проблема размножения. Вместо этого вредонос борется за выживание, следя за тем, чтобы в целевой системе не было действующих антивирусных инструментов, предназначенных специально для его выявления и уничтожения. Также видоизменился и алгоритм, предназначенный для связи зараженных компьютеров с контролирующим центром. Напомним, что "Конфикер" ежедневно генерирует по 250 доменных имён, с которыми пытается связываться для получения инструкций (которых, к счастью, до сих пор не было). Этот алгоритм уже давно расшифрован антивирусными компаниями, которые сами регистрируют домены из этих списков для анализа действий червя, а также блокируют эти доменные имена. Очевидно, авторам "Конфикера" это пришлось не по душе, поэтому они разработали новый алгоритм, генерирующий уже по 50000 доменных имён в сутки. При этом они пользуются списком из 116 доменов верхнего уровня. В Symantec продолжают изучать новую версию червя. Пока отмечается очень невысокая степень распространения Downadup.C, что вполне объясняется его особенностями, однако киберзащитники на всякий случай присматривают за этим вредоносом.
Подробности