Η Symantec καθώς και η F-Secure παρκολουθούν από κοντά την εξέλιξη του Conflicker.Πόσα συστήματα παγοσμιώς έχουν προσβληθεί;
Candid Wüest: Περισσότερα από 4 εκατομμύρια. Δυστυχώς δεν έιναι γνωστός ο ακριβής αριθμός, επειδή σίγουρα υπάρχουν προσβεβλημένοι, που έχουν περισσότερες από μία ΙΡ διευθύνσεις. Όπως παράδειγμα χρήστες ADSL , που εισέρχονται μέσω DHCP.Γι'αυτό 4 εκατομμύρια είναι συγκρατημένος αλλά και "συντηριτικός" αριθμός.
Ποιός βρίσκεται πίσω από τον ιό; Υπάρχουν στοιχεία για τους "εκδότες" του;
Πιστεύουμε ότι πρόκειται για οργανωμένη ομάδα που στο παρελθόν είχε σκορπίσει Adwares και πολύ πρόσφατα ασχολήθηκαν με παραπλανητικά ψεύτικα προϊόντα Ασφαλείας.
Τι σκοπεύουν οι προγραμματιστές του;
Αυτή είναι μια μεγάλη και ανοιχτή ερώτηση. Υποθέτουμε ότι σε κάποια στιγμή θα εγκατασταθεί κάποιο Payload (το ζητούμενο-ο σκοπός) στο προσβεβλημένο σύστημα. Τώρα,αν θα είναι ένας Spam-Proxy, ένας Keylogger ή κάποιο Adware , δεν μπορούμε ακόμα να γνωρίζουμε. Είναι όμως προφανές ότι, οι προγραμματιστές του δεν το κάνουν για πλάκα, αλλά για να βγάλουν χρήματα.
Πώς εξαπλώνεται τελικά ο ιός αυτός;
Ακολουθεί τρείς κυρίως οδούς: Πρώτον εκμεταλλεύεται το κενό ασφαλείας των Windows,όπως αναφέρει η Microsoft στο MS08-067 και κατόπιν κυκλοφόρισε το patch.Σ'αυτή την περίπτωση έρχεται από το ίντερνετ χωρίς καν να κάνει κάτι ο χρήστης.Απλά έρχεται! Παράλληλα ο ιός αυτοαποθηκεύεται σε μέσα USB και δημιουργεί εκεί ένα αρχείο εκκίνησης.Όταν αυτή η συσκευή USB χρησιμοποιηθεί σε άλλο υπολογιστή,ο ιός βγαίνει και φωλιάζει στο νέο σύστημα. Τρίτον,ο ιός "δοκιμάζει" μια σειρά από passwords,ελπίζοντας να βρεί το σωστό και να αποκτήσει δικαιώματα στην σύνδεση του υπολογιστή.Η λίστα με τους κωδικούς είναι γνωστή και υπάρχει στο ίντερνετ.
Τι ακριβώς κάνει ο ιός από τη στιγμή που μπεί στο σύστημα;
Πάει και δηλώνεται ως Service (Υπηρεσία) των Windows και αλλοιώνει κάποιες τιμές των Ρυθμίσεων Ίντερνετ, ώστε γρήγορα να είναι σε θέση να εξαπλωθεί παραπέρα.Στη συνέχεια απενεργοποιεί την δυνατότητα λήψης ενημερώσεων των Windows.Μετά επικοινωνεί με κάποιες σελίδες και ανανεώνει την ημερομηνία και ώρα. Δημιουργεί έναν τοπικό Webserver και αλλάζει τις ρυθμίσεις του Firewall κατά βούληση.Αφού το καταφέρει αρχίζει και εξαπλώνεται όπως περιέγραψα.Επιπρόσθετα,"κολλάει" σε κάποιες συγκεκριμένες λειτουργίες του συστήματος,ώστε να είναι ο καθαρισμός του δυσκολότερος. Μετά μπορεί να κατεβάζει και εκτελεί δικά του αρχεία και εφαρμογές. Τέλος μπλοκάρει το άνοιγμα ιστοσελίδων προγραμμάτων ασφαλείας καθώς και σελίδες ανημερώσεως αυτών.
Βασισμένος στην ενημερωμένη ημερομηνία και ώρα αρχίζει και παράγει Domains (ιστοχώρους) κάθε μέρα νέες Domains.Αυτό επιτρέπει τον εισβολέα , eνα δηλωθεί σε μια συγκεκριμένη και από κει να κατεβάζει και άλλα κακόβουλα λογισμικά. Κάποιοες από αυτές είναι ήδη γνωστές, όπως : aaidhe.net, aamkn.cn, abivbwbea.info ή aiiflkgcw.cc.
Γενικά είναι αποδεκτό σήμερα ότι,οι χάκερς γράφουν Malwares για να κατασκοπεύουν με μεγάλη ακρίβεια.Πως εξηγείτε εσέις αυτή την επιδημία;
Δεν είναι κάτι το αφύσικο. Χωρίς τα μέσα ενημέρωσης,σίγουρα η επιθέσεις θα ήταν πολύ πιό εκτεταμένες και πιό ύπουλες. Ο σκοπός τους ήταν προφανώς ο έλεγχος όσο γίνεται περισσοτέρων υπολογιστών,ένα Botnet δηλαδή. Από τη στιγμή όμως που το Payload (βλ. παραπάνω) ακόμα δεν έχει έρθει,δε μας είναι γνωστό,δεν μπορούμε και να πούμε αν ο τρόπος που επέλεξαν να πλήξουν συστήματα ήταν όντως ο πιό αποδοτικός για αυτούς.
Γιατί ο ιός εξαπλώνεται τόσο γρήγορα,παρ'όλο που η Microsoft από τον Οκτώβριο ήδη έχει κλείσει το κενό ασφαλείας που χρησιμοποιεί ο ιός;
Δυστυχώς έτσι είναι.Τα patches δεν κατεβάζονται και εγκαθιστώνται όταν εμφανίζονται.Αυτό για διάφορους λόγους, σε κάποιες εταιρίες ελέγχεται πρώτα με άλλα εργαλεία αν τα patches είναι συμβατά με όλο το υπόλοιπο σύστημα και αυτό διαρκεί.Άλλες εταιρίες ή μεμονομένοι χρήστες απλά το παραβλέψαν ή δε έχουν καν ενεργοποιημένη την αυτόματη λήψη.Αλλά τέτοια έκταση ζημιών είχαμε πολύ καιρό να δούμε.
Υποθέτω ότι σήμερα πλέον οι κατασκευαστές προγραμμάτων ασφαλείας είναι σε θέση να εντοπίσουν τον ιό αυτόν.Γιατί εξακολουθεί να εξαπλώνεται;
Απ'όσο γνωρίζω σχεδόν όλα τα προγράμματα ασφαλείας είναι σε θέση να τον εντοπίσουν. Από την άλλη όμως δεν μπορούν όλα τα προϊόντα να τον αφαιρέσουν από ένα ήδη προσβεβλημένο σύστημα.Σερ αυτό συμβάλει η ικανότητα του ιού να χρησιμοποιεί μεθόδους Rootkit, πράγμα που δυσκολεύει την αφαίρεσή του. Καταλήγοντας,η απάντηση στην ερώτησή σας γιατί εξακολουθεί να εξαπλώνεται είναι η εξής ερώτηση: γιατί δεν ήταν τα συστήματα ενημερωμένα με το patch της Microsoft;
Δημοσίευση σχολίου