Derfor var Conficker rolig 1. april

Forklaringen er svært enkel: Ormen er alt annet enn en spøk.

Gjennom hele mars ble befolkningen bombardert med meldinger som hvordan den fryktede dataormen Conficker – alias Downadup og Kido – ville slå til 1. april.

Det er nå klart at det ikke skjedde noe spektakulært.

Flere sikkerhetseksperter bidro til å piske opp stemningen. Rick Wesson i Support Intelligence LLC kalte ormen en «digital Pearl Harbor», med henvisning til det japanske angrepet mot USAs marinebase på Hawaii i desember 1941. Han sier i dag at hensikten var å øke den allmenne bevisstheten, ikke å advare mot en datofestet dommedag.

Andre, som Roger Thompson i antivirusselskapet AVG, var overbevist om at det ikke ville skje noe spesielt 1. april. Thompson advarer at Conficker er en alvorlig trussel, og at den for så vidt når som helst vil kunne aktiveres til angrep.

De som overvåker Confickers virksomhet – den har infisert et ukjent antall millioner pc-er verden over – sier den var programmert til å endre sine oppdateringsalgoritmer 1. april. Det innebærer at ormen endrer detaljer i måten den kontakter sine «herrer» – spesielt konfigurerte maskiner som kontrolleres av kreftene bak ormen – for å motta ny kode. Denne kontakten behøver ikke skje direkte: Den ordnes helst etter fildelingsprinsippet.

Endringen slo til, forteller Conficker-overvåkerne i McAfee i dette blogginnlegget: Conficker.C over the wire. De observerte en klar atferdsendring. Deres eksemplarer av Conficker kontaktet andre pc-er, og brukte flere minutter på å utveksle data med disse. Disse pakkene er fanget opp, og kunnskapen derfra bygges inn i selskapets vernetiltak.

IT-sikkerhetsselskapene har som kjent gått sammen om praktiske tiltak mot Conficker. De er fortsatt imponert over teknologien. Alfred Hunger i Symantec sier til Reuters at han tror Conficker vil kunne overleve i mange år, og at opphavet er motivert av det samme som driver alle andre zombie-gjetere: Ulike måter å svindle til seg penger på. Med Confickers omfang og evne til selvspredning, er det bare fantasien som setter grenser.

Hva kan man lære av dette?

For det første: Conficker er ingen spøk. Brukt som bombe 1. april ville virkningen bare vært enda mer oppmerksomhet, og enda mer effektive mottiltak fra sikkerhetshold. Zombie-nett fungerer best i det stille, og man kan anta at neste oppdatering vil skje på en langt mindre symbolrik dato.

For det andre: Conficker er blodig alvor. Ofrene vil helt sikkert bli misbrukt av kriminelle, og kan gjerne rammes direkte ved at deres ID-er fanges opp, deres brukernavn og passord registreres og så videre. Å ha Conficker på pc-en er som å huse en usynlig kriminell.

Sikkerhetsekspertene er enig i at det er enkelt å forebygge mot Conficker: Oppdatert antivirus, effektiv brannmur og oppdatert Windows er oppskriften for å hindre smitte fra framtidige versjoner.

Å sjekke om man har Conficker er verre. Ormen stenger døra etter seg: I dagens versjon er den avhengig av en bestemt Windows-sårbarhet (se Microsoft Security Bulletin 08–067) som Microsoft la ut fiks for i oktober i fjor. På infiserte maskiner sørger Conficker for at det ser ut som denne sårbarheten er tettet. Det er utviklet minst to verktøy som er i stand til å avsløre dette: et fra tyske forskere og et fra USAs departement for innenrikssikkerhet.

En enkel måte å avsløre om man har Conficker, skal være å besøke antivirusselskapenes nettsider. Kommer du ikke in på for eksempel Symantec, er det fordi Conficker blokkerer tilgangen.

De fleste antivirusselskapene har lagt ut egne Conficker-utdrivere. Det er selvfølgelig derfor Conficker blokkerer dem.

Problemet man står overfor nå, er at kriminelle grupper er i stand til å grave seg fast i noen millioner pc-er. Disse disponeres av folk som har bevist at de ikke er mottakelige for IT-bransjens formaninger, og ingen vet hvordan man skal nå fram til dem.

    Les også:

– Fremmede makter angriper oss daglig

Hør professor Olav Lysne og direktør Bjørn Erik Thon i Datatilsynet diskutere personvern, rikets sikkerhet og det digitale grenseforsvaret i vår nye podkast «Dobbeltklikk».

Til toppen