Nieuwe gevaarlijke mutatie van Conficker in omloop

SRI International volgt Conficker op de voet. Op 16 februari kregen ze een variant onder ogen, waarvan ze donderdag meer details hebben gepubliceerd. Een onderzoeker van Hostexploit.com schijnt de variant al op 6 februari te hebben opgemerkt. Het lijkt erop dat Conficker B++ de voorzorgsmaatregelen links laat liggen die zijn genomen door de Conficker Cabal groep, die onder leiding van Microsoft is opgezet.

Strategie

Conficker kan veel schade aanrichten, zoals het versturen van spam, het loggen van toetsaanslagen en het lanceren van DoS-aanvallen. Maar om dat te kunnen doen, moeten de bots wel worden aangestuurd. Ze moeten dus bevelen krijgen en voor die bevelen zoekt Conficker naar sites zoals arzaoyufxqb.com, waarvan er een hele lijst wordt gegenereerd door een algoritme dat de worm bij zich heeft. Maar dat algoritme is ondertussen gekraakt en met die informatie in de hand kan men verkeer naar de bewuste sites afsluiten. Dat is wat door de Conficker Cabal groep wordt gedaan, en bijvoorbeeld ook door OpenDNS, zodat de worm niet veel schade aan kan richten.

Aanvullende technieken

Het antwoord van de cybercriminelen is nu Conficker B++. Deze variant gebruikt twee aanvullende technieken om bevelen op te vragen. Daardoor is de meest succesvolle strategie van de bestrijders buiten spel gezet. Het lijken erg subtiele veranderingen te zijn, schrijft SRI, waaronder de mogelijkheid om van buitenaf urls te accepteren en te valideren, vanwaar de bots kunnen worden aangestuurd. Volgens SRI suggereert deze nieuwe variant dat de auteurs op zoek zijn naar nieuwe wegen om in contact te komen met hun botlegers.

Om ongeveer duidelijk te maken hoe grondig Conficker is gerestyled, zijn er maar drie van de 297 subroutines aangepast en er zijn 39 subroutines toegevoegd.

Bron: Techworld.nl