En plan för att fånga Conficker Worm

Den 1 april förväntas en datormask vid namn Conficker, som redan har infekterat miljontals maskiner över hela världen, göra något dåligt, även om ingen vet exakt vad. Vissa experter fruktar att en armé av infekterade maskiner kan beordras att inleda en samordnad attack eller skicka ut en störtflod av spam. Men a verktyget släppt idag kan hjälpa till att minska effekten genom att tillåta stora företag och institutioner att snabbt sålla bort infekterade maskiner genom att skanna hela nätverk efter tecken på infektion.





Analyser av Conficker-masken har tidigare avslöjat att infekterade datorer kommer att ringa hem den 1 april för att få en ny uppsättning instruktioner. Det är redan möjligt att upptäcka masken genom att skanna maskiner individuellt, men det är en relativt tidskrävande process. Det är också möjligt att upptäcka buggen genom att se efter utgående kommunikation som skickas över ett nätverk, men den senaste versionen av Conficker är utformad för att vara tyst till 1 april.

Dan Kaminsky , direktör för penetrationstestning för det Seattle-baserade säkerhetsföretaget IOActive , hjälpte till att skapa det nya skanningsverktyget och säger att det kan identifiera en infekterad maskin genom att känna igen hur den presenterar sig för det bredare nätverket. Detta gör det snabbt och enkelt att söka efter masken på distans och kräver ingen speciell åtkomst till maskiner. Det är som att köra genom ett kvarter och leta efter hus med stora skyltar på dörrarna, säger Kaminsky.

Verktyget skapades efter Tillmann Werner och Felix Leder, medlemmar av en oberoende forskningsorganisation kallad the Honeynet-projekt , bad Kaminsky att granska sin forskning om Conficker. Paret hade kommit på att masken förändrar hur en maskin ser ut på ett nätverk. Kaminsky tog tag i detta och föreslog att forskarna skapar ett verktyg som använder denna information för att hitta infekterade maskiner. Forskarna byggde ett sådant verktyg och arbetade under helgen för att göra det klart för bred distribution till leverantörer av annan säkerhetsprogramvara. Vilken sårbarhetsskanner ett företag än använder, borde det ha stöd för detta i slutet av dagen, säger Kaminsky.



Bruce Schneier , chefssäkerhetstekniker på BT Motruta , säger att det nya verktygets förmåga att söka upp viruset på distans borde vara användbar, eftersom det kommer att låta människor skanna ett stort antal maskiner mycket snabbt. Detta är viktigt, säger Schneier, eftersom masken är ett så otäckt skadedjur. Conficker är en extremt välskriven, extremt väldesignad, extremt väl genomförd mask, säger Schneier. Det är verkligen ett imponerande arbete, och det finns någon riktigt smart bakom det. Men Schneier tillägger att det är viktigt för datoranvändare och administratörer att skydda sina maskiner mot en mängd olika skadliga program, inte bara ett enda hot.

Om du har drivit en bra miljö, bör du inte vara orolig för detta, säger Rik Mogull , grundare av säkerhetskonsultföretaget Securosis , som hjälpte till att koppla ihop Honeynet-forskarna och Kaminsky med nätverkssäkerhetsleverantörer under helgen. Mogull noterar att Microsoft redan har släppt flera patchar som blockerar sårbarheten som Conficker använder för att infektera en maskin. Han säger dock att företag som är oroliga för Conficker bör börja söka efter det direkt efter att ha kontrollerat om deras nätverkssäkerhetsverktyg har uppdaterats.

Kurt Rohloff , en forskare som studerar internetmaskar på forsknings- och utvecklingsföretaget BBN Technologies , säger att verktyget kan visa sig användbart, även om han tvivlar på att det finns tid att hitta och neutralisera varje dator som är infekterad med masken. Rohloff säger att den nya skannern kan användas för att vidta förebyggande åtgärder genom att identifiera infekterade värdar och ta bort dem från nätverket, även om han medger att detta tillvägagångssätt är drastiskt, eftersom du tar bort anslutning.



Kaminsky noterar att verktyget är avsett för organisationer med stora nätverk. För individer, säger han, är det bästa sättet att se till att de senaste säkerhetsuppdateringarna är installerade och att uppdaterad antivirusprogramvara körs. Eftersom Conficker blockerar en dator från att komma åt vissa säkerhetswebbplatser, kan användare testa för masken genom att försöka besöka dessa webbplatser, säger Kaminsky. Werner och Leder planerar att släppa ett papper inom nästa dag, som beskriver de tekniska detaljerna för deras upptäckt.

Dölj