Nyt se alkoi: Conficker-mato lataa tuhokoodia
0
Kuva: F-Secure/Conficker Working Group
Mediassa rummutettiin Conficker-madon aktivoitumista aprillipäivänä, mutta kuten asiantuntijat ennustivatkin, mitään ei tapahtunut. Nyt sen sijaan tapahtuu. Trend Micro kertoo, että rikolliset ovat alkaneet ladata hyökkäyskoodia Conficker-uhrikoneille. Uhka on vakava, sillä uhrikoneita on netissä miljoonia. Rikolliset tosin käyttävät yllättävää keinoa.
Conficker- ja Downadup-verkkomadosta on useita eri versioita, ja ne ovat saastuttaneet miljoonia (pahimmillaan ehkä kymmeniäkin miljoonia) tietokoneita internetissä. Uhrikoneille ei kuitenkaan ole juuri aiheutunut haittaa, sillä rikolliset eivät ole laajemmassa määrin käyttäneet koneita hyväkseen.
Haittaohjelma leviää Conficker-uhrien keskuudessa
Trend Micron mukaan tilanne on muuttunut. Monille uhrikoneille on ilmestynyt uusi tiedosto, jonka jakelu on ilmeisesti alkanut tiistaina. Haittaohjelman toimintaa ei ole pystytty täysin analysoimaan tiukan salakirjoituksen ja suojauksien vuoksi. Haittaohjelma näyttää kuitenkin hakevan koneelle lisää ohjelmia tunnetusta rikollisosoitteesta.
Mielenkiintoista on myös jakelujärjestelmä. Conficker osaa levittää tiedostoja myös p2p-vertaisverkkotekniikalla, ja nyt levitetyt tiedostot ovat tulleet tätä kautta. Haittakoodin jakelu on ilmeisesti alkanut Korean suunnalta ja levinnyt sieltä pikku hiljaa eteenpäin.
Aprillipäivänä Conficker.C-versio alkoi etsiä haittakoodia rikollisten nettipalvelimilta. Aiemmat Conficker-versiot olivat tehneet samaa jo aiemmin. Tätä kautta haittakoodia on jaeltu ilmeisesti vain pieninä määrinä. Nyt huomattuja hyökkäystiedostoja ei ilmeisesti ole jaeltu web-palvelimien kautta.
Tietoturvayhtiöt seuraavat Confickerin haittakoodin jakelun edistymistä. Myös haittakoodin sisältöä ja toimintaa yritetään selvittää.
