Vanaf vandaag gebruiken de miljoenen met Conficker.C besmette computers een nieuw algoritme om verbinding met potentiële update-servers te maken. De ontdekking van het algoritme en het feit dat dit op 1 april actief zou worden zorgde voor een enorme hype, waarbij zelfs problemen voor het internet werden voorspeld. Zoals mag duidelijk zijn, werkt alles nog prima. De grootste slag wisten de makers van Conficker begin maart al te slaan, toen bijna 80% van de Conficker.B populatie met de C-variant werd geupdate. Deze C-variant is niet afhankelijk van het eerder genoemde algoritme om zichzelf te updaten, dat kan namelijk ook via de verbeterde Peer-to-Peer functionaliteit.

Korte samenvatting
Voor iedereen die de perikelen rondom Conficker heeft gemist een korte samenvatting. Op 23 oktober vorig jaar brengt Microsoft een noodpatch voor een lek in Windows uit. Amper een dag na het verschijnen van de patch voor het lek in de Windows Server service, misbruikt een Trojaans paard de kwetsbaarheid om systemen te infecteren. De malware krijgt de naam Gimmiv.A en is vooral in Azië actief. Het aantal slachtoffers zou in de duizenden lopen, toch verwachten experts geen grootschalige uitbraak, aangezien dat niet in het voordeel van de verantwoordelijke cybercriminelen zou zijn.

Op 23 november, een maand na de patch van Microsoft, komt er verandering in de situatie. Symantec verhoogt de alarmfase van het internet van "normaal" naar "verhoogd". Een nieuwe worm genaamd Downadup (Conficker) is actief bezig met de infectie van Windows 2000 systemen. De eerste variant van Downadup weet in korte tijd maar liefst een half miljoen machines te besmetten. De situatie verslechtert in rap tempo. Op nieuwjaarsdag ontdekt Symantec een nieuwe variant van Downadup, door Microsoft Conficker genoemd, die zich op drie manieren weet te verspreiden. Het gebruikt het MS08-067 beveiligingslek in Windows, en nog eens op een veel efficiëntere manier waardoor ook XP systemen massaal besmet raken, het gebruikt AutoRun en gedeelde mappen en computers met zwakke wachtwoorden op het netwerk. Twee weken later wordt bekend dat Conficker al zeker tien miljoen Windows computers heeft besmet.

Conficker.B schakelt op systemen de beveiligingssoftware uit en maakt elke dag met 250 domeinnamen verbinding om zo mogelijk updates te ontvangen. Tot grote verbazing van experts doen de makers niets met hun massale botnet. Daarnaast blijkt de P2P-functionaliteit niet goed te werken, aangezien die alleen binnen het lokale netwerk werkt en niet vanaf het internet bereikbaar is. Om ook de andere update mogelijkheid af te sluiten, registreert een samenwerkingsverband van verschillende partijen, de Conficker Cabal genoemd, de 250 domeinnamen waar de besmette machines verbinding mee maken. Doordat het algoritme is gekraakt hoopt men zo misbruik van de geïnfecteerde computers te voorkomen.

Begin maart wordt duidelijk dat er toch één of meerdere domeinnamen doorheen zijn geglipt en de B-variant is vervangen door de C-variant. Was Conficker.A vooral actief in Zuid-Amerika en China, zoals deze kaart laat zien, Conficker.B en dus ook C, slaat keihard in Europa toe. Ruim 30% bevindt zich in Europa, terwijl het percentage besmette machines in Azië met 45% ongeveer gelijk is gebleven.

1 april - criminelen spelen in op hype
Alle aandacht zorgt ervoor dat eindgebruikers massaal informatie over de worm zoeken, zoals Google Trends laat zien. Nederland is ook hier goed vertegenwoordigd en staat op de achtste plaats wat betreft zoekopdrachten over de worm. Vanwege aandacht in de media was er op 20 maart een flinke piek in het aantal Nederlanders dat naar Conficker Googlede. Het zoeken naar de worm is trouwens niet zonder risico, aangezien andere cybercriminelen proberen om gebruikers zo naar kwaadaardige pagina's te lokken.

En het algoritme dan?
Dat is nu actief, wat betekent dat besmette machines 50.000 domeinnamen per dag genereren en er met 500 verbinding proberen te maken. Wat betekent dat een besmette machine 1% kans heeft om het juiste domein te vinden. Tot nu toe gebeurt er helemaal niets, noppes, nada. Er zijn namelijk geen updates op de gegenereerde en geregistreerde domeinnamen aangetroffen.

"Het zou eigenlijk best stom van de botnetbeheerder zijn om zichzelf juist op 1 april in de picture te spelen om een van die 50.000 domeinen te registreren en daar een update of opdracht op achter te laten. Hij heeft nog tijd genoeg en je moet niet vergeten dat het P2P-mechanisme ook gebruikt kan worden voor dezelfde doeleinden, een daarbij niet gebonden is aan 1 april als datum", zegt Tom Welling van Symantec tegenover Security.nl.

Geen actief Conficker botnet in nabije toekomst
Volgens Atif Mushtaq van het FireEye Malware Intelligence Lab is het zeer onwaarschijnlijk dat de besmette Conficker machines op korte termijn als botnet worden gebruikt. De manier waarop de makers Conficker beheren verschilt namelijk van normale botnets. Naast het proberen te downloaden van nep-virusscanners, zoals de eerste variant deed, zijn er geen pogingen geweest om geld met het netwerk te verdienen. "De criminelen die normaal malware en botnets ontwikkelen zijn nooit zo terughoudend."

Op dit moment hebben de makers van de worm alleen maar last van beveiligingsonderzoekers. "Vanwege de manier van verspreiden en het gebrek aan een werkend, dynamisch update mechanisme, hebben anti-virusbedrijven geen problemen met het bemachtigen van de verschillende binary bestanden." Dat betekent een goede bescherming, maar als je toch besmet raakt, schakelt Conficker de meeste virusscanners en updates uit, zo waarschuwt Mushtaq.

De onderzoeker merkt op dat moderne malware en botnets een "low en slow" aanpak gebruiken, en zichzelf niet als een tikkende tijdbom voordoen die op 1 april afgaat. "Waarom zou een botnetbeheerder op 1 april wachten als hij meteen geld kan verdienen? Zo gaan honderdduizenden dollars verloren!" Een mogelijke reden kan zijn om "street cred" op te bouwen bij andere cybercriminelen, zoals dat in de begindagen van de wormuitbraken ging. Daarnaast wordt het ontwikkelen en beheren van een botnet meestal door verschillende groepen gedaan, ook vanwege de expertise die voor de verschillende taken is vereist. "Het lijkt erop dat ze het bijna voor de roem doen. Dit is een andere reden waarom deze malware van andere actieve malware verschilt."

Peer-2-Peer functionaliteit Conficker gekraakt
Het domein algoritme van Conficker was al gekraakt, maar een onderzoeker van IBM is er vorige week in geslaagd om ook de P2P-functionaliteit te kraken. Hierdoor kan Mark Yason zien waar de bots zich bevinden en hoe die met elkaar verbinding maken. Hoeveel machines via het "geheime" P2P-netwerk communiceren wil de IT-gigant nog niet vertellen. McAfee merkt op dat er sporadisch contact via het P2P-netwerk tussen de verschillende bots is geweest.

Update 13:25 - Conficker actief?
De New York Times komt met het bericht dat beveiligingsexperts, waarschijnlijk van de Conficker Working Group, hebben ontdekt dat de worm met een controle server communiceert. Het is echter onduidelijk of de communicatie succesvol was. Eerder meldden we al dat McAfee al activiteit op het P2P-netwerk van Conficker had gezien, maar veel concrete informatie is niet aanwezig.

Update 15:20 - Geen probleem voor consumenten
Virusbestrijder Roger Thompson vindt alle aandacht maar overdreven. Het probleem zou alleen maar overheidsinstanties en bedrijven treffen, niet consumenten. "De twee vectoren die worm voor het verspreiden gebruikt zijn het Windows RPC lek, wat in oktober gepatcht was, en het slecht beveiligde netwerk shares. De enige mensen die netwerken hebben en ook niet patchen zijn overheden, bedrijven en educatieve instellingen." Eén april is volgens Thompson dan ook een heel toepasselijke dag voor heel het gebeuren.

Interessante links

• Video presentatie over Conficker van Mikko Hyppönen, hoofdonderzoeker bij F-Secure.
  
• Hoe werkt een buffer overflow. Deze briljante animatie legt dit soort beveiligingslekken, waar ook de Conficker worm misbruik van maakt, voor iedereen op een heldere en eenvoudig te begrijpen manier uit.

V: Hoe weet ik of mijn systeem besmet is?
A: De meest eenvoudige manier om te controleren is door naar de website van een bekend anti-virusbedrijf te gaan, zoals www.f-secure.com, www.symantec.com of www.mcafee.com. Gebruik je een virusscanner en is je systeem besmet, dan zal Conficker de anti-virus software hebben uitgeschakeld.

Heb je ook een vraag of opmerking over Conficker, laat een reactie achter of stuur hem naar redactie@security.nl.