Symantec heeft vrijdag naar buiten gebracht dat Downadup.C een compleet nieuwe variant is. Downadup.C is weer heel anders dan Conficker B++, die vorige maand werd ontdekt. Het is een soort update die wordt gepusht naar machines die al zijn besmet met Conficker. Hoe dat precies in zijn werk gaat wordt uit het bericht van Symantec niet duidelijk.

Algortime

Vreemd aan de nieuwe variant is dat die zich niet probeert te verspreiden, aldus Peter Coogan van Symantec. Een ander kenmerk is dat het zich verdedigt door de beveiligingssoftware uit te schakelen. Ook is het algoritme, dat elke dag 250 domeinnamen genereerde, vervangen door een algoritme dat per dag maar liefst 50.000 domeinnamen produceert, waarmee Conficker in contact probeert te komen om nieuwe instructies te krijgen.

De 250 domeinnamen die voorheen werden gegenereerd, werden succesvol afgeschermd, maar of dat met 50.000 domeinen ook lukt moeten we nog afwachten. Bovendien is het nog waarschijnlijker dat er tussen de 50.000 namen ook bestaande domeinen zitten.

Downadup

Symantec is nog hard bezig om de nieuwe variant te onderzoeken. “De bevindingen tot nu toe suggereren dat de auteurs van Downadup zich nu richten op het verlengen van de levensduur van de bestaande Downadup op geïnfecteerde machines. In plaats van dat ze andere machines proberen te infecteren, proberen ze de machines die nu al geïnfecteerd zijn te beschermen tegen antivirussoftware”, schrijft Peter Coogan.

Op het eerste gezicht is het een slimme strategie van de mensen achter Conficker. De worm staat al op veel machines over de hele wereld en van dat gigantische botleger willen ze natuurlijk gebruik blijven maken. Maar het blijft de vraag hoe ze het voor elkaar krijgen om een update te pushen. En als dat mogelijk is, waarom zou het dan niet lukken om op die manier hun orders bij het wormenleger te krijgen?

Bron: Techworld.nl