Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Tietoturva nyt! > 2009 > Maaliskuu > Conficker-verkkomadosta uusi variantti

Tietoturva nyt!

21.3.2009

Conficker-verkkomadosta uusi variantti

Conficker-verkkomadon uusin variantti muuttaa madon toimintamekanismia leviämisestä olemassaolevan tartuntakannan ylläpitämiseen ja sisältää muutoksia madon päivitysmekanismiin.

Conficker (tunnetaan myös nimellä Downadup) -verkkomadosta on havaittu uusi variantti. Kyseinen variantti tunnistetaan tyypillisesti nimillä Conficker.D, Conficker.C tai Downadup.C. Kuten voidaan havaita, nimeämiskäytännöt vaihtelevat eri organisaatioiden välillä ja myös muita kuin edellä mainittuja nimityksiä käytetään.

Uusi variantti on havaittu ensimmäisen kerran maaliskuun 2009 alussa (tarkasta päivämäärästä on esitetty eri näkemyksiä) ja se eroaa toiminnallisuuksiltaan ja toimintaperiaatteeltaan aiemmista varianteista. Uusimmasta variantista on poistettu aiemmissa käytetyt leviämismekanismit. Uusimpaan varianttiin on vastaavasti lisätty entistä kehittyneempi peer-to-peer -tyyppinen päivitysmekanismi aiempien HTTP-protokollaa ja päivämäärään perustuvaa verkkotunnusten generointia sekä madon MS08-067-haavoittuvuuden hyväksikäyttöyrityksiä hyödyntävien mekanismien rinnalle. Lisäksi HTTP-pohjaista päivitysmekanismia on muunnettu siten, että uusin versio generoi päivittäin huomattavasti edellistä versiota suuremman määrän verkkotunnuksia, aiempaa useamman ylätason verkkotunnuksen alta. Haittaohjelman käyttämien ylätason verkkotunnusten mukana ei kuitenkaan ole .fi-verkkotunnusta. Edellä mainittujen haittaohjelmaan tehtyjen muutoksen johdosta tämän uusimman variantin jatkopäivitysten estäminen laajassa mittakaavassa - esimerkiksi varaamalla haittaohjelman käyttämiä verkkotunnuksia etukäteen - on aiempaa vaativampi tehtävä. Uusin variantti myös puolustautuu poistoyrityksiä vastaan uudella tavalla, muun muassa estämällä eräiden haittaohjelmien etsimiseen ja poistamiseen käytettyjen sovellusten käynnistymisen.

Toistaiseksi Conficker-haittaohjelma on pyrkinyt leviämään, päivittämään itseään ja ylläpitämään olemassaolevaa saastuneiden koneiden kantaa. CERT-FI:n tietoon ei ole tullut tapauksia, joissa sitä olisi hyödynnetty bottiverkoille tyypillisiin haitallisiin käyttötarkoituksiin.

Lisätietoa

Sivua päivitetty 23.03.2009   Tulostusversio Tulostusversio