Temat: Primaaprilisowy robak zaraził miliony komputerów

Eksperci komputerowi z niepokojem czekali aż wybije północ, aby zobaczyć jakie zniszczenia spowoduje komputerowy robak primaaprilisowy, który zainfekował miliony komputerów na całym świecie.
- Jeśli ściągnąłeś łatkę, albo przynajmniej zaktualizowałeś swój program antywirusowy, nie powinieneś mieć problemów – uspokaja Chris Pirillo, ekspert techniczny CNN.com. A dostępnych jest wiele różnych pakietów antywirusowych – dodaje.

- Jestem przekonany, że każdy ma narzędzie do usuwania tego rodzaju złośliwego oprogramowania – mówi Pirillo, zauważając jednak, że może się zdarzyć, że robak będzie siał spustoszenie.

W przeciwieństwie do wirusów, robaki komputerowe same się szerzą, przenosząc się w sieciach. - Jeśli już jakiś pojawi się w sieci, bardzo trudno go zatrzymać – ostrzega Pirillo. Największym problemem może okazać się sytuacja, że niektóre komputery mogą działać prawie normalnie, choć zarażać będą inne podłączone do tej samej sieci.

Autorzy robaka Conficker.c dopracowali tę możliwość jeszcze lepiej, ponieważ robak ten zatrzymuje aktualizowanie programów Windows, co sprawia, że nie ma możliwości automatycznego ściągnięcia łatki. Uniemożliwia on również automatyczne aktualizacje wielu programów antywirusowych.

Pirillo zauważa, że prawdziwe efekty tego robaka możemy poznać dopiero po tygodniu lub jeszcze dłuższym czasie, ale na pewno jakieś zobaczymy. - Może to być co najmniej bardzo irytujące – przewiduje. - Będzie to miało prawdopodobnie spory wpływ na pracę sieci - dodaje.

Conficker.c to robak komputerowy – szkodliwy program, który zainfekował już od pięciu do dziesięciu milionów komputerów. Na razie symptomy tych infekcji nie były odczuwalne, ale 1 kwietnia komputer kontrolny tzw. "master" ma przejąć kontrolę nad komputerami zainfekowanymi, tzw. "zombie" – wyjaśnia Don DeBolt, dyrektor ds. kontroli zagrożeń w nowojorskiej firmie CA, która zajmuje się oprogramowaniem komputerowym i usługami IT.

Lawrence Baldwin z mynetwatchman.com – firmy z Atlanty zajmującej się bezpieczeństwem w Internecie – mówi, że motywacje, jakimi kierowali się twórcy Conficera.c wydają się różnić od tego, co motywowało tych, którzy stworzyli poprzednie robaki. Wcześniej zainfekowały one miliony komputerów, ale nie miały poważnych skutków.

- Trzy, cztery lub pięć lat temu ludzie ci próbowali pokazać po prostu, jacy są sprytni – mówi. Teraz chodzi już jednak o pieniądze. - Oni z pomocą tego rodzaju oprogramowania mogą zarobić sporo pieniędzy - mówi.

Baldwin pociesza jednak, że szkody będą ograniczone. - Nie podejrzewam, by doszło do globalnego krachu. Myślę raczej, że przekonamy się, iż celem Conflickera jest uruchomienie całej palety innego szkodliwego oprogramowania – spamów, Trojanów i tak dalej. Wszystkiego tego, co pomaga przestępcom zarabiać w sieci.

Powszechnie podawane ostatnio w mediach ostrzeżenia mogły jednak zmotywować wiele osób i firm do działania, minimalizując w ten sposób ewentualne skutki. O robaku wie także amerykańskie Federalne Biuro Śledcze (FBI), które poinformowało, że "jest świadome możliwego zagrożenia, jakie stwarza robak Conficker", w związku z czym pracuje nad tym, by "w pełni rozpoznać i zminimalizować to zagrożenie".

Czym jednak grozi nam zainfekowanie primaaprilisowym robakiem? Eksperci komputerowi przyznają, że sami nie są pewni. - Najistotniejsze teraz pytanie dotyczy tego, co właściwie może się stać” – mówi Simit Shah, dyrektor funkcjonowania sieci pracujący w CNN. Na razie robak „jakby próbował się skontaktować z domem i pyta co ma zrobić – wyjaśnia Shah dodając, że do tego czasu robak dostawał odpowiedź, że nic nie należy robić.

Dziś jednak specjaliści spodziewają się, że Conficker.c zmieni sposób działania, co może sprawić, że dotychczasowe środki zapobiegawcze przestaną wystarczać. Robak może w końcu usłyszeć "Idź i zrób coś" – mówi Shah, dodając, że to "coś" może oznaczać wiele różnych ataków na strony internetowe, w tym także na strony rządowe.

Shah ostrzega, że robak może już kontrolować nawet ponad dziesięć milionów komputerów na całym świecie i ma bardzo wyszukane działanie. Może spowodować duże szkody, ale z drugiej strony – jak zauważa specjalista – "może też chodzić na razie tylko o zaspokojenie czyjegoś ego", ponieważ autorzy tego robaka bawią się w kotka i myszkę z ekspertami już od listopada, kiedy odkryto pierwszą wersję Confickera. Od tego czasu eksperci próbowali znaleźć różne sposoby zwalczające robaka, który ewoluował do kolejnych dwóch wersji, z których każda była bardziej wyszukana niż poprzednia.

W lutym tego roku specjalistów komputerowych zmotywowała dodatkowo nagroda w wysokości 250 tysięcy dolarów, którą firma Microsoft obiecała tym, którzy pomogą schwytać twórców Confickera. Doprowadziło to nawet do stworzenia specjalnej grupy o nazwie Conficker Cabal, która zrzesza ekspertów próbujących walczyć z groźnym robakiem.

Choć Conficker może spowodować wiele szkód, jego nadal nieznani autorzy w pewien sposób podziwiani są przez ekspertów zajmujących się bezpieczeństwem w sieci – przyznaje Shah. - Oni zrobili coś, czego normalnie się nie robi – mówi.

Jedna z tych rzeczy to uniemożliwienie automatycznych aktualizacji systemu – wyjaśnia Shah. W październiku firma Microsoft wypuściła łatkę, która usuwała potencjalne zagrożenie, ale wielu użytkowników komputerów jeszcze jej nie ściągnęło. - A kiedy już złapiesz tego robaka, uniemożliwia on dalszą aktualizację – mówi ekspert CNN.

Specjalistka do spraw bezpieczeństwa w firmie IBM, Holly Stewart, powiedziała w rozmowie telefonicznej z CNN, że najnowsza wersja Confickera – Confincker.c, która została odkryta niecały miesiąc temu – różni się od swych poprzedników, ponieważ nie skupia się ona już tak bardzo na rozprzestrzenianiu się. Zamiast tego, "skupia się ona raczej na utrzymaniu swej pozycji i trzymaniu otwartych linii komunikacyjnych z innymi zainfekowanymi komputerami".

Stewart poinformowała też, że eksperci IBM zdołali rozpoznać mechanizmy komunikacyjne najnowszego Confickera i znaleźli sposób na wykrycie go w sieci. - On jest bardzo dobrze skonstruowany – przyznaje specjalistka. - Autorzy Confickera poświęcili wiele czasu na to, by zapobiec przerwaniu tej sieci komunikacyjnej i zdecydowanie utrudnić jego wykrycie w systemie - dodaje.

Update IBM przekazany w zeszłym tygodniu klientom firmy pokazuje, że 45 procent infekcji odnotowano w Azji, podczas gdy na drugim miejscu znalazła się Europa, która ma 31 procent zarażonych komputerów – mówi Stewart.

Nadal jednak niewiadomo dokładnie, jaki będzie efekt. - To pytanie za milion dolarów – żartuje. - Szczerze mówiąc, nikt nie jest w stanie tego do końca przewidzieć - mówi. Motywacja jednak autorów Confickera wydaje się bardziej oczywista. Ktoś wydał "mnóstwo pieniędzy i innych środków", aby stworzyć tego robaka – mówi Stewart. - Zdziwiłabym się, gdyby nie próbowali na tym w jakiś sposób zarobić - dodaje.

Shah również mówi, że nie wie, co się wydarzy, ale według najgorszych scenariuszy mogłoby okazać się, że "twój komputer ma zniszczone twoje pliki lub stał się częścią jakiegoś przestępczego procederu". Na razie robak pozostaje uśpiony, ale "w pewnym momencie otrzyma on instrukcje o tym, co ma wykonać".

Steve Santorelli, były detektyw Scotland Yardu, który obecnie pracuje dla firmy badawczej z Chicago, Team Cymru, mówi, że autorzy Confickera wykorzystali potężną broń, która może być użyta w Internecie. - Jest wiele spekulacji, a spekulacje prowadzą do strachu przed czymś nieznanym. Jedyne osoby, które tak naprawdę wiedzą, do czego może być wykorzystany Conficker, to tak naprawdę przestępcy, którzy za nim stoją. Reszta nas może tylko zgadywać - mówi.

W tym przypadku sporo szczęścia i spokoju mają użytkownicy Mac, ponieważ Conficker został stworzony tak, by wykorzystywać wyłącznie oprogramowanie Microsoftu.

Pierwsza wersja robaka Conficker, oznakowana literą A, została wypuszczona pod koniec 2008 roku. Wykorzystywała 250 adresów internetowych, generowanych dziennie przez system, jako środka komunikacji miedzy komputerem "master", a komputerami zainfekowanymi. Celem pierwszej wersji wirusa była sprzedaż użytkownikom komputerowym fałszywego oprogramowania antywirusowego. Eksperci ds. bezpieczeństwa poradzili sobie jednak z problemem współpracując z Internetową Korporacją ds. Nadawania Nazw i Numerów (Internet Corporation for Assigned Names and Numbers – ICANN) uniemożliwiając funkcjonowanie lub wykupując problematyczne adresy URL.

W styczniu tego roku wypuszczono jednak drugi wariant robaka – Conficker.b – który zainfekował milion komputerów więcej. Wersja trzecia, Conficker.c, kiedy stanie się aktywna, ma natomiast generować 50 tysięcy adresów URL dziennie, zamiast wcześniejszych 250 – dodają specjaliści.