Tietoturva nyt!

10.4.2009

Uusi versio Conficker/Downadup-verkkomadosta

Conficker.C-tartunnan saaneet koneet hakivat madosta uuden rinnakkaisen version sekä muita haittaohjelmia.

Koneiden, joissa on Conficker.C-tartunta, on havaittu hakeneen P2P-päivityspalvelimelta uuden version madosta. Uutta versiota kutsutaan nimellä Conficker.E tai Downadup.E. Koneille on asentunut uuden version lisäksi myös Waledac-haittaohjelma, jota voidaan käyttää roskapostin lähettämiseen ja käyttäjien tietojen varastamiseen tartunnan saaneelta koneelta. Myös virustorjuntaohjelmistoksi naamioitunut haittaohjelma Spyware Guard 2008/2009 on löytynyt usealta päivitetyn version saaneelta koneelta.

Conficker.E ei korvaa Conficker.C-versiota, vaan versiot ovat koneessa ajossa samanaikaisesti. Conficker.E pyrkii leviämään Conficker.C:tä aggressiivisemmin haittaohjelmaan uudelleen lisätyn MS08-067-haavoittuvuuden hyväksikäyttömenetelmän avulla. Uusi versio lopettaa analyysien mukaan toimintansa 3. toukokuuta. On esitetty arvioita siitä, että Confickerin kirjoittaneen tahon tarkoituksena on erottaa paljon verkkoliikennettä aiheuttava leviämistoiminnallisuus omaksi komponentikseen ja jättää koneille huomaamattomammat Conficker.C- ja Waledac-haittaohjelmat odottamaan uusia komentoja.

Lisätietoa

http://www.f-secure.com/weblog/archives/00001652.html
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/262
http://www.avertlabs.com/research/blog/index.php/2009/04/09/new-conficker-variant/

Tietoturva Nyt! 02.04.2009 Kotikäyttäjän keinot Conficker-haittaohjelman havaitsemiseen
Tietoturva Nyt! 31.03.2009 Confickerin saastuttamien koneiden löytämiseen on kehitetty työkalu
Tietoturva Nyt! 21.3.2009 Conficker-verkkomadosta uusi variantti

Sivua päivitetty 10.04.2009

Tulostusversio