2min

Tags in dit artikel

,

De Conficker-worm is alsnog ontwaakt. Eerder voorspelden onderzoekers dat de worm opnieuw actief zou worden op 1 april, dat blijkt nu 9 april te zijn.

Trend Micro meldt dat de worm is begonnen met het downloaden van andere pakketten via p2p. Waarschijnlijk worden keyloggers gedownload, maar wat het precies is, is lastig te zeggen vanwege de sterke encryptie die de worm gebruikt.

De gedownloade software lijkt een sys-component te gebruiken die zich verborgen houdt in een rootkit. Na het downloaden maakt de worm verbinding met MySpace.com, MSN.com, eBay.com, CNN.com en AOL.com om te bepalen of er een internetverbinding is. Daarna maakt hij zichzelf onzichtbaar.

Bovendien wordt de software via p2p verspreid, wat het tegenhouden ervan heel erg lastig maakt. "Zoals verwacht is het p2p-netwerk van het Conficker-botnet mogelijk enkel gebruikt om een update te serveren, in plaats van via HTTP", aldus een plaatsing op Trend Micro’s blog.

Op 3 mei 2009 stopt de worm met werken. "Na 3 mei stopt de worm en zal hij zichzelf niet meer verder repliceren", vertelt David Perry, wereldwijde directeur van beveiligingseducatie bij Trend Micro. Toch zou het mogelijk kunnen zijn dat pc’s nog steeds op afstand bediend worden om iets anders te doen, waarschuwt hij.

De Conficker.C-variant van de worm, die geactiveerd had moeten worden op 1 april, heeft tussen de drie tot twaalf miljoen pc’s geïnfecteerd. De worm, die gebruik maakt van een in oktober door Microsoft gepatcht lek, schakelt overigens beveiligingssoftware uit en ontzegt de toegang tot updatesoftware.