Computerworld News Service: "Det er umuligt at sige noget om hvad der sker med Conficker, før vi ser noget med et klart økonomisk motiv," erkender Joe Stewart, som er leder af malware-efterforskning hos SecureWorks og en fremtrædende botnet-ekspert.
Pc'er, der er inficerede med Conficker.c, som er den tredje generation af ormen, der gjorde sin entre sent sidste år, kommer fra 1. april til at benytte en ny kommunikationsmetode til at etablere forbindelse med de styrende servere, der administreres af de hackere, der udgav malwaren. Denne dato er hard-coded ind i ormen, som selv forespørger et antal større websites - heriblandt Yahoo - om, hvilken dato det er, forklarer Stewart.
Denne taktik er blot en ud af adskillige, der er designet til at gøre det svært for sikkerhedseksperter at regne ud, hvad Confickers formål er, og endnu vigtigere hvad ormen vil gøre.
"Vi har været nødt til at snyde den til at tro, at den både får angivet datoen til at være 1. april, og at den får denne datoangivelse fra det rigtige website," forklarer Stewart ud fra en beskrivelse af arbejdet med maskiner, der bevidst er blevet inficeret med Conficker.c.
"Indtil videre har vi ikke set et eneste bevis for, hvad ormen vil gøre 1. april," tilføjer Stewart, selvom det også kun er, hvad man kan forvente. "Det er ikke blevet 1. april endnu, så de har ikke lagt noget online, hvor det er muligt at finde det. Faktisk er det næsten lidt risikabelt for os at lede efter disse sites, da det kan afsløre, at vi har nogle bots i deres netværk."
Forsvarsorienteret orm
Vincent Weafer, som er vice president for Symantecs security response group, er enig med Stewart om, at det er umuligt at vide på forhånd, hvilket stunt hackerne bag Conficker vil lave i næste uge.
"Der er ikke nogen, der rigtigt har nogen anelse," erkender Weafer. "Der er ingen indikation om, hvad den vil gøre 1. april."
Weafer karakteriserer Conficker.c som en opdatering af ormen, der "pansrer og hærder de eksisterende inficeringer," og bemærker, at denne variant i modsætning til sine forgængere ikke kan sprede sig til andre pc'er. "Denne variant er meget forsvarsorienteret," fortæller Weafer, "for at gøre den mindre synlig og mere modstandsdygtig."
Ligesom Weafer ser Stewart Conficker.c som et træk fra ormens ophavsmand eller ophavsmænd for at konsolidere den eksisterende inficering. "Det store spørgsmål er, hvad endemålet er?" påpeger han. "Og er ormen nu blevet så stor, som de ønsker, den skal være?"
Han påpeger også, at Conficker.c er ret sofistikeret, og giver dermed Weafer ret i, at hackerne bag ormen forsøger at sætte både sikkerhedseksperter og antivirussoftware til vægs.
"Det er meget besynderligt," fortæller Stewart. "Disse hackere er mere tålmodige og mere metodiske end de fleste. De hæver standarden højt, i forhold til hvad der skal til for at finde ud af, hvad ormen gør, hvordan den blokeres og hvordan den fjernes."
"Dette er ikke datakriminalitet af hverdagstypen," fastslår han.
Conficker, som af nogle sikkerhedsfirmaer også kaldes Downadup, viste sig første gang sent sidste år og udnyttede oprindeligt et sikkerhedshul i Windows som Microsoft lukkede med en nødopdatering i oktober 2008. Tidligt i 2009 inficerede den anden variant af ormen, Conficker.b, millioner af pc'er på kun få dage.
Oversat af Thomas Bøndergaard
