Onderzoekers van Symantec hebben een nieuwe variant van de Conficker worm aangetroffen, die het met name op beveiligingssoftware heeft voorzien. De update wordt verstuurd naar al met Conficker besmette systemen, hoewel de beveiliger niet zegt op welke manier dit gebeurt. In tegenstelling tot vorige varianten schakelt deze versie virusscanners en analyse tools, zoals Wireshark en TCPview, uit. Net als vorige versies wordt ook het HOSTS-bestand gewijzigd, zodat Windows Update niet meer werkt en websites van anti-virusbedrijven en security fora niet meer te bezoeken zijn.

Om het updaten van besmette machines door de makers van de worm tegen te gaan, besloot een samenwerkingsverband onder leiding van Microsoft om de domeinen die de cybercriminelen hiervoor gebruiken, preventief te registreren. Conficker.B probeert elke dag met 250 domeinnamen verbinding te maken, om zo nieuwe updates te ontvangen.

Bescherming
Onderzoekers wisten het algoritme voor het creëren van de domeinnamen te kraken en konden zo dit verspreidingsmechanisme te stoppen. De nieuwste variant, die Symantec Downadup.C noemt, gebruikt een nieuw algoritme dat elke dag 50.000 domeinnamen probeert. Dit is een andere versie dan Conficker.B++, die vorige maand opdook.

"Deze eerste bevindingen duiden erop dat de makers van de worm zich nu richten op het verlengen van Downadup's levensduur op besmette machines", zegt Peter Coogan. Hij merkt verder op dat in plaats van het infecteren van nieuwe machines, de makers proberen om besmette machines tegen virusscanners en verwijdering te beschermen.