Botnet oparty na robaku internetowym Conficker mógł objąć nawet 7 mln komputerów PC w firmach i u użytkowników indywidualnych w ciągu ostatnich trzech lat – napisali w raporcie analitycy bezpieczeństwa – poinformował Computerworld i analitycy Microsoft.
Jak twierdza autorzy raportu robak internetowy Win32/Conficker w IV kw. 2011 roku probował zainfekować lub wręcz zainfekował 1,7 mln komputerów PC – o 100 tys. więcej niż w III kw. zeszłego roku. Jest to już trzeci rok działania botnetu opartego na tym robaku internetowym. Jak powiedział Computerworld Tim Rains, kierujący działem Trustworthy Computing w Microsoft Corp., tak długa aktywność robaka internetowego jest rzadko spotykana.
Conficker pojawił się w 2008 roku. Robak ten na początku wykorzystywał znaną lukę bezpieczeństwa w Windows, później zaś zaczął wykorzystywać błędy w Autostarcie Windows XP i Vista. Do stycznia 2009 Conficker znajdował się już na milionach komputerów PC.
W marcu 2009 obliczano wielkość botnetu opartego na Confickerze na 12 mln komputerów PC i sądzono, że po uaktualnieniu 1 kwietnia 2009 robak zacznie być bardziej agresywny i przejmie dalszych kilka milionów komputerów. Jednak botnet Confickera od tego momentu dawał tylko sporadycznie znać o sobie.
Według analityków Microsoft, nie uległ on jednak destrukcji, ale mimo iż już jest mniejszych rozmiarów – ze względu na wyczyszczenie z robaka części komputerów należących do botnetu – nadal przejmuje nowe komputery PC. Obecnie eksperci oceniają wielkość botnetu opartego na tym robaku na 7 mln komputerów PC. Według Tima Rainsa, robak ten pozostaje największym zagrożeniem dla firm, szczególnie małych i średnich, od ostatnich 2,5 roku.
Eksperci bezpieczeństwa, analizując dane z narzędzia do usuwania szkodliwego oprogramowania Malicious Software Removal Tool (MSRT), wyszukiwarki Bing oraz zapytań z poczty elektronicznej Hotmail, stwierdzili iż ilość wykrytych infekcji robakiem wzrosła o 225 proc. od 2009 roku.
Według Tima Rainsa przyczyną od 54 proc. do 89 proc. wszystkich nowych infekcji robakiem są skradzione lub zbyt słabe hasła administratorów i użytkowników dla komputerów PC, zaś sam robak znajdujący się w e-mailu lub na zakażonej stronie może łatwo przejąć wszystkie komputery w firmowej sieci. Według innych analityków bezpieczeństwa powoduje to, że robak może rozprzestrzeniać się bez kontaktu ze swoimi serwerami C&C.
Zajmująca się likwidacją robaka Conficker Working Group (CWG), do której należą analitycy z firm bezpieczeństwa i koncernów informatycznych, zdołała jednak do końca 2009 roku wyłączyć wszystkie znane serwery zarządzania i kontroli botnetu (tzw. serwery C&C). Grupa działa nadal, bowiem hackerzy wciąż budują nowe serwery zarządzania i kontroli, usiłując odzyskać botnet. Jak powiedział Computerworld Jose Nazario, zajmujący się badaniami bezpieczeństwa w firmie Arbor Networks, należącej do CWG praca ta jest bardzo frustrująca, ponieważ „nie ma końca i trudno ciągle uprzedzać ludzi o wciąż nowych domenach, które mogą zarządzać botnetem”.
poleca:
