Historie červa Conficker dle Trend Micro
Zpráva podstatně výživnějšího charakteru než ta, kterou vypustila firma ESET ve spolupráci s TV Nova o nové variantě červa Conficker, dorazila do naší mailové schránky od společnosti Trend Micro. Pohledem na formy podání obou antivirových společností musíme říci, že se to vůbec nedá srovnávat. Zatímco zpráva ESETu v nás vyvolává dojem, že cílem bylo uživatele v první řadě vyděsit, aby si hned (zčerstva, dokud jsou v šoku) běželi pro antivir od ESETu, Trend Micro nám přehledným způsobem nastínil, co vlastně Conficker dělá a jaká je jeho historie. Tím nechceme říci, že Trend Micro nepoužívá podobné praktiky jako ESET (namátkou mrkněte na nedávnou zprávu s názvem Výroční zpráva Trend Micro o počítačových hrozbách: kyberzločinci se činí rychleji než kdy před tím), ale zrovna tohle podání činnosti Confickeru nám přijde nesrovnatelně lepší, takto bychom si představovali solidní zprávu o bezpečnostní hrozbě, kterou Conficker představuje (možná je to tím, že ji nejspíše netvořilo tiskové oddělení, ale někdo, kdo problematice rozumí podstatně více). My se vám nyní pokusíme toto sdělení přetlumočit…
První varianta
Downad/Conficker byl poprvé spatřen v listopadu roku 2008. Tato první varianta byla nejjednodušší: šířila se prostřednictvím bezpečnostní díry ve Windows, kterou řešil už v říjnu 2008 mimořádně vydaný Security Bulletin MS08-067. Tato varianta se aktivně vyhýbala napadání počítačů, jejichž systém Windows měl nastavené ukrajinské rozložení klávesnice a také se vyhýbal IP adresám pocházejícím z Ukrajiny (což by mohlo napovídat, odkud pochází). Jakmile Conficker napadl počítač, vygeneroval haldu náhodných IP adres a pokoušel se na ně dostat. Pak se pokoušel stáhnout „scareware“, což je pojem definující typ softwaru s účelem uživatele vyděsit, ovšem nikoli formou nějakého hrůzného obrázku, ale např. informací, že máte infikovaný počítač. K tomuto účelu existují (a je to právě ten typ, který se Conficker pokoušel stáhnout) „falešné antiviry“. Generuje si denně 250 doménových adres, ze kterých se pokouší stahovat další e-burdel (na základě stejného algoritmu si před tím registruje domény autor této zlořečené všivárny).
Druhá varianta
Objevila se v lednu 2009 a šlo de-facto o přepsanou verzi, která už si nebrala servítky, ani když došlo na ukrajinské počítače a nestahovala také zmíněný „scareware“. Kromě stejné díry v systému, jako první varianta, využívala druhá další způsob, jak se šířit. Jistě víte, že šlo o instalaci na výměnná média (typicky USB flashky) zkopírováním se a vytvořením patřičného autorun.inf souboru, který zajistil spuštění (instalaci) červa při vložení takto „nakaženého“ média do dalšího počítače (to je také důvod, proč Microsoft zveřejnil opravu vypínání autorunu na Windows Update – kromě toho se nám opět dostává na světlo známá hláška o tom, jak se rozmnožují viry: „pučením“). Kromě výměnných médií využíval i možností sítě a snažil se dostat na okolní počítače s nasdílenými síťovými složkami a kde to chtělo heslo, pokoušel se jej uhádnout, k čemuž využíval vlastní seznam asi 240 slov. Tato druhá varianta Confickera už se dostala i do povědomí nástroje na odstranění škodlivého softwaru, kdy i Microsoft informoval o jeho zákeřné vlastnosti vypínat ve Windows automatické aktualizace, blokovat přístup na některé weby a paralyzovat některé známé antiviry. Tyto nové vlastnosti hodně napomohly jeho rozšíření, což vytvořilo živnou půdu pro třetí variantu…
Třetí varianta
Tato verze, se totiž do PC nedostává ani skrze zmíněnou díru, ani skrze flashky, ale stahuje si ji právě druhá varianta Confickeru. Třetí varianta, jejíž objevení se datuje k začátku tohoto měsíce, se dá považovat za „finální fázi počátku celého útoku“ a je to právě ona, která spustila onen humbuk, když rozšířila počet navštěvovaných domén z 250 na 50 000 na asi 110 doménách nejvyšší úrovně narozdíl od předchozích variant, jimž autor přichystal živnou půdu jen na nějakých pěti, resp. osmi doménách nejvyšší úrovně (.com, .net, .org, .info, .biz, druhá varianta přidala .ws, .wn, .cc). Conficker však nezkouší denně kontaktovat všech 50 000 domén, ale jen 500 z celého seznamu a je to právě první duben, na kdy má třetí varianta Confickeru nařízeno se s nimi spojovat. Navíc již obsahuje i způsob komunikace mezi nakaženými počítači navzájem (formou peer-to-peer komunikace, což si lze mylně vysvětlit i tak, že červ ke svému šíření využívá P2P software běžně užívaný pro sdílení dat – mimochodem dobrý způsob, jak vystrašit zejména zákonodárce a poukázat na nebezpečí P2P sítí ;-). Tím si autor (autoři) vytváří celkem slušný „botnet“ – síť spojených počítačů, které může (mohou) ovládat a na dálku jim říkat, co mají dělat. Možnosti jsou v tuto chvíli v podstatě neomezené, autor může botnetu nařídit další šíření různými způsoby, stejně tak může do této sítě zanést další škodlivý software a když na to přijde, dá se na tom i docela dobře vydělat pronájmem služeb takto vytvořeného botnetu, jehož možnosti jsou de-facto neomezené (stačí, že mu autor může zaslat další libovolný kód k vykonání). Sem se dá samozřejmě zařadit spousta různých záškodnických činností, přičemž sbírání citlivých údajů je jen zlomek toho, co se dá s takovým botnetem dělat (samozřejmě je potřeba mít na paměti, že z počítače lze dostat pouze ty informace, které jsou v něm uložené, takže pokud jste svému počítači nikdy nesvěřili pin kód od vaší platební karty, těžko vám ho odtud někdo může vytáhnout).
V tuto chvíli tedy nezbývá než čekat na prvního dubna a sledovat, co se bude dít. Mezitím si můžete projít své počítače s operačními systémy Windows, za spolehlivý ukazatel „nenapadení“ se dá považovat funkčnost služby Windows Update (ovšem zase nelze s jistotou říci, že když vám Windows Update nefunguje, máte určitě Confickera – nefunkčnost Windows Update může mít tisíc a jeden důvod, každopádně pokud něco nefunguje, v žádném případě není řešení to přijmout jako fakt, ale hledat příčinu).
