Løpsk Windows-orm kan bli botnet

«Conficker» infiserte over én million PC-er på ett døgn. F-Secure frykter den vil forvandle seg til noe verre.

«Conficker», også kjent som «Downadup» er navnet på en hel familie av ondsinnet kode, som angriper en sårbarhet i Windows som ble avdekket allerede i oktober 2008.

    Les også:

Microsoft ga samtidig ut en feilfiks som fjerner faren, men svært mange har ennå ikke oppdatert. Det gjør at viruset, eller ormen, som utnytter hullet stadig sprer seg.

Det siste tiden har ulike varianter av denne skadevaren herjet nettet. Denne uken melder sikkerhetsselskapet F-Secure at over 3,5 millioner PC-er er infisert.

På én eneste dag infiserte ormen over én million nye PC-er, og det er et konservativt anslag, hevder selskapet i et blogginnlegg.

Faren er nå overhengende for at de mange infiserte datamaskinene blir såkalte zombier i et gigantisk botnet, det vil si et massivt nettverk av PC-er som forbrytere med kriminelle hensikter kan styre som de vil.

Grunnen er at ormen forsøker å oppdatere seg selv. Dette gjør den ved å forsøke å laste ned ny kode ved å koble seg til ulike nettadresser.

Nettadressen og målet for hvor viruset skal finne oppdateringer endrer seg hele tiden ved hjelp av en avansert algoritme. Dette gjør det svært vanskelig å stoppe allerede infiserte maskiner fra å oppdatere seg og dermed laste ned nye versjoner av skadevaren.

- Alt de kriminelle bakmennene trenger å gjøre er å registrere ett slikt domene og sette opp en nettside – så får de tilgang til alle de infiserte maskinene. Ganske smart, skriver sikkerhetsekspert Mikko Hyppönen i F-Secure i et blogginnlegg.

Dette betyr ifølge Hyppönen at de infiserte PC-ene lett kan bli et gigantisk botnet.

For å forstå mer av farene og hvordan ormen fungerer, har F-Secure selv registrert noen av de genererte domenenavnene.

- Akkurat nå opplever vi at hundretusenvis av unike IP-adresser kobler seg til adressene vi har registrert, opplyser Hyppönen.

Hoveddelen av trafikken stammer ifølge sikkerhetseksperten fra bedriftsnettverk. Mye går dessuten gjennom brannmurer, proxy-servere og NAT-rutere. Det innebærer at det reelle antallet PC-er som er infisert trolig er svært mye høyere enn dette.

Flest infiserte maskiner befinner seg i land som Kina, Brasil, Russland og India ifølge en oversikt selskapet har utformet. Norge blir i den sammenhengen ikke nevnt, og det er ikke kjent hvor mange norskeide PC-er som er rammet.

Oppdatert:

Microsoft har denne uken frigitt en oppdatert versjon av et verktøy som fjerner ondsinnet kode. Denne skal ifølge selskapet fjerne Conficker-ormen fra infiserte maskiner. De har også lagt ut en oppskrift på hvordan ormen kan fjernes manuelt.

    Les også:

Til toppen