Ifølge en Microsoft-blog kan den seneste opdatering til firmaets Malicious Software Removal Tool (MSRT) nu også fjerne de infektioner, der stammer fra ormen Conficker, der inficerer servere og får dem til hente ny, ondsindet software.
Conficker går direkte efter en fejl i Windows serverservice. Microsoft mente, at fejlen var så alvorlig, at en utidig patch 23. oktober blev udsendt til både Windows 2000, Vista, Server 2003 og Server 2008.
Microsoft har nu observeret en ny variation af den server-inficerende orm, der bliver kaldt Win32/Conficker.B. Systemerne bliver inficerede, når en hacker konstruerer et ondsindet Remote Procedure Call (RPC), der ringer op til en sårbar server, der så til gengæld giver tilladelse til at køre kode på maskinen.
Cristian Craioveanu og Ziv Mador skriver på Microsofts blog, at Conficker.B også bruger andre spredningsmetoder. For eksempel ved at kopierer sig selv ind i delte netværksmaskiner via gættede passwords, eller ved at sprede sig via transportable medier.
Conficker benytter sig af forskellige tricks for at undgå at blive opdaget. Den bruger for eksempel en teknik kaldet 'polymorphism', som er kendetegnet ved at bruge kompression og kryptering til at få koden til at se anderledes ud for antivirus-software og dermed gøre den vanskeligere at opdage.
Denne teknik gør samtidig filerne sværere at se, ligesom den ændrer i adgangsbetingelserne.
Udbruddet af Conficker.B påvirker først og fremmest kunder, som arbejder i større netværk. Microsoft fortæller desuden, at flere lande er påvirkede, deriblandt USA, Mexico, Frankrig, Spanien, Canada, Italien, Brasilien, Sydkorea, Tyskland, Malaysia og Tjekkiet.
Stærkere passwords
Microsofts MSRT er et simpelt sikkerhedsværktøj, der skanner PC'en og som kan fjerne visse former for ondsindet software. Det er langt fra en fuld antivirus-sikring, men Microsoft har investeret en del i, at værktøjet skal kunne fjerne de mest åbenbare og irriterende malware, som påvirker Windows PC'er og servere.
Firmaet anbefaler, at administratorer gør password til delte netværk stærkere, ligesom det er vigtigt at køre en MSRT-skanning.
Nogle inficerede computere vil ikke selv være stand til at få adgang til Windows Update, som er Windows' indbyggede opdateringstjeneste. Derfor har Microsoft udarbejdet instruktioner, der fortæller, hvordan man kan downloade MSRT via en ikke-inficeret computer og derefter distribuere den videre.
"Ondskabsfuld mekanisme"
Mange europæiske firmaer har i løbet af de sidste uger måttet se Conficker sprede sig på deres netværk, siger Mikko Hypponen, som er forskningschef for det finske sikkerhedsfirma F-Secure.
Han fortæller, at F-Secure har analyseret Conficker og har i den forbindelse fundet ud af, at den indeholder en algoritme, der generer domænenavne til 'command-and-control'-servere. Opfinderne af Conficker kan dermed bruge et af disse domænenavne til en rigtig hjemmeside, som de inficerede PC'er derefter kan besøge med henblik på at få opdateret malware eller instruktioner.
Denne teknik er ofte blevet brugt af andre botnet, som for eksempel Mebroot. Eftersom det er svært at vide, hvilke af de hundredvis af 'command-and-control'-hjemmesider, der rent faktisk findes på nettet, er det også meget vanskeligt at vide, hvilke af dem, man skal lukke for, påpeger Mikka Hypponen.
"Det er i det hele taget en rigtig ondskabsfuld mekanisme."
F-Secure har registreret nogle af de domænenavne, som algoritmen har genereret, med det formål at give et bud på hvor mange inficerede computere, der findes. Tirsdag lød vurderingen, at der er mere end 2,5 millioner. Mikko Hypponen fortæller, at onsdag havde F-Secure set mere end 3,5 millioner maskiner på de hjemmesider, der indeholder instruktioner. Men analytikerne hos F-Secure mener, at det virkelige antal inficerede maskiner kan være langt højere.
Mikka Hypponen siger, at F-Secure ikke har set Conficker.B's netværk af computere udføre andre ondsindede handlinger end at inficere nye computere. Men med så massivt et botnet er der potentiale for virkelige ødelæggelser.
Omdirigeret til Rusland
En tidligere version af Conficker gik for eksempel ind og pillede ved PC'ens DNS (Domain Name System) indstillinger. Dette kan betyde, at computeren begynder at besøge andre hjemmesider, end dem, der står i browserens adressefelt.
I dette tilfælde omdirigerede Conficker brugerne fra Google.com til forskellige russiske hjemmesider, som var fyldte med reklamer, fortæller Mikka Hypponen. Confickers ændringer betød desuden, at brugerne oplevede, at pop-ups begyndte dukke op. I begge tilfælde fik Confickers opfindere sørget for massiv trafik til disse reklamer, og således skabte de en enorm, falsk omsætning.
F-Secure har skabt deres eget værktøj til at fjerne Conficker med, som de har valgt at kalde 'Downandup'.
Oversat af Marie Dyekjær Eriksen
