Computerworld News Service: Det var SRI International researchers, der for nogle dage siden spottede den nye variant, som har fået navnet Conficker B++, og firmaet frigav detaljerne i koden i torsdags.
For det utrænede øje ligner den nye orm stort set den gamle udgave (Conficker B), men B++ varianten bruger en anden teknik til at downloade software, og det giver dens skabere en større fleksibilitet i forhold til, hvad de kan bruge de inficerede maskiner til.
Maskiner, som er inficerede med Conficker-ormen, kan bruges til forskellige ondsindede ting, som for eksempel til at sende spam fra, til keylogging eller til denial of service (DoS) angreb, men en ad hoc gruppe, der kalder sig selv 'the Conficker Cabal', har stort set forhindret dette i at ske.
De har cracked den algoritme, som softwaren bruger til at finde de såkaldte 'rendezvous-sider' på internettet, hvorfra den kan få nye koder, og dermed har gruppen kunne holde Conficker under kontrol.
Disse rendezvous-sider benytter sig af unikke domænenavne, som for eksempel pwulrrog.org, og the Conficker Cabal har arbejdet hårdt med at finde disse sider, så de har kunne holde dem væk fra de kriminelle bagmænd.
Kirurgisk indgreb
Den nye B++ variant bruger de same algoritmer til at lede efter rendezvous-sider, men derudover har dens skabere også forsynet den med to nye teknikker, der gør, at den nu også helt kan springe over disse sider. Det betyder, at anti-Conficker-gruppens mest succesfulde strategi hidtil nu kan blive virkningsløs.
Conficker-ormen blev skrevet om i december, da B-varianten blev frigivet. Den nye omskrivning er ikke lige så omfattende som den, der blev lavet for to måneder siden, men kan nærmere ses som en præcisering af den tidligere udgave.
"De har lavet et slags kirurgisk indgreb," som program director for SRI Phil Porras udtrykker det.
For at sætte tingene i perspektiv: Der var 297 subrutiner i Conficker B. SRI fortæller i en rapport om den nye variant, at der er blevet tilføjet 39 nye rutiner i B++, mens tre eksisterende subrutiner er blevet modificerede. Rapporten konkluderer, at implementeringen af disse nye rutiner antyder, at skaberne bag ormen søger efter nye måder at omgå behovet for rendezvous-sider i det hele taget.
Phil Porras ved ikke, hvor længe Conficker B++ har været i cirkulation, men ifølge en anonym researcher fra siden Hostexploit.com, der har sporet ormen, dukkede den i hvert fald op til overfladen for første gang d. 6. februar.
Selv om han ikke ved, om B++ er blevet skabt som et modsvar til det arbejde, som the Conficker Cabal har udført, så fortæller 'support intelligence CEO' Rick Wesson i en e-mail, at den nye variant "i høj grad gør botnettet mere robust og i stand til at modstå en del af gruppens arbejde."
Conficker er også kendt under navnet 'Downandup', og den bruger flere forskellige teknikker til at sprede sig fra maskine til maskine. Den udnytter blandt andet en sårbarhed i windows til at angribe computere i LAN-netværk, ligesom den også kan spredes ved hjælp af USB-enheder som for eksempel kameraer eller hukommelsesstik.
SRI oplyser, at de forskellige Conficker-varianter nu tilsammen har inficeret omkring 10.500.000 computere.
Oversat af Marie Dyekjær Eriksen
