Oude Confickerworm blijft pc's besmetten

Besmette pc's maken deel uit van botnet

Conficker stak voor het eerst de kop op in het najaar van 2008. De malware maakte misbruik van een kwetsbaarheid in Windows. Die was weliswaar pas door Microsoft gepatcht, maar lang niet alle pc-gebruikers hadden die patch al geïnstalleerd. De met de worm besmette pc’s vormen een botnet dat kan worden ingezet voor internetaanvallen van uiteenlopende aard.

Latere varianten van Conficker waren nog geraffineerder. Begin 2009 waren naar schatting wereldwijd miljoenen pc’s geïnfecteerd. In april 2009, toen de publiciteit rond Conficker een hoogtepunt bereikte, waren het er al 12 miljoen.

Grootste bedreiging van laatste 2,5 jaar in bedrijven

Volgens Rains is Conficker nog springlevend. Hij noemt de worm de ‘belangrijkste bedreiging’ in ondernemingen in de afgelopen 2,5 jaar. Hij schat de huidige omvang van het botnet op 7 miljoen pc’s.

Microsoft verzamelt gegevens over de verbreiding van kwaadaardige software zoals Conficker met zijn Malicious Software Removal Tool (MSRT) en daarnaast met zijn gratis antivirussoftware, zoekmachine Bing en Hotmail. Het aantal detecties van Conficker is sinds 2009 met 225 procent toegenomen, aldus Rains.

Centrale commandostructuur is onthoofd

Er is wel een lichtpuntje: met Conficker besmette pc’s kunnen geen updates of instructies meer van hun makers ontvangen, blijkt uit het verhaal in Computerworld. Samen met andere beveiligingsspecialisten, verenigd in de Conficker Working Group (CWG), heeft Microsoft de centrale besturingscomputers al sinds 2009 geblokkeerd door eventuele nieuwe ‘command & control’-domeinen op een zwarte lijst (‘sinkhole’) te plaatsen voordat de hackers ze zelf registeren. Die lijst moet constant worden bijgewerkt om de wederopstanding van de worm te verhinderen.

Verspreiding kan doorgaan door zwakke wachtwoorden

Intussen kan Conficker zich zelfstandig blijven verspreiden, ook zonder centrale besturing. Het grootste deel van de nieuwe besmettingen is te wijten aan zwakke of gestolen wachtwoorden voor het beheerdersaccount op een Windows-pc. Conficker heeft een lijst van zulke wachtwoorden ingebouwd die nog steeds behoorlijk effectief is, aldus Rain. Het belangrijkste advies aan bedrijven is om hun gebruikers te dwingen sterke wachtwoorden te kiezen.

Gedetailleerde technische informatie over Conficker, inclusief de ingebouwde lijst van te vermijden zwakke wachtwoorden, staat op de website van het Malware Protection Center van Microsoft. Elders op die site is ook meer algemene informatie te vinden.