Červ zneužíva zraniteľnosť server služby Microsoft Windows s označením MS08–067. Šíri sa špeciálne vytvorenými RPC volaniami na iné počítače v sieti, pričom počítače obsahujúce uvedenú zraniteľnosť budú infikované kópiou červa. RPC je skratka pre Remote Procedure Call (vzdialené volanie procedúr), teda protokol, ktorý umožňuje vykonanie kódu na diaľku v inom počítači v sieti, čo v prípade ak počítač obsahuje uvedenú zraniteľnosť umožňuje tvorcom červa infikovať iné počítače v sieti a na diaľku ich ovládať.
Červ sa navyše šíri aj cez pamäťové zariadenia USB, ako sú USB kľúče či MP3 prehrávače.
Ohrozenie sa zvyšuje kvôli neustálemu sťahovaniu aktualizácií červom. Do infikovaných zariadení sťahuje svoje nové verzie a využíva rôzne meniace sa IP adresy, takže je ťažké toto sťahovanie aktualizácií zablokovať. Niektoré varianty do infikovaného počítača sťahujú aj ďalší malware. Môžeme to považovať za znak prípravy autorov červa na rozsiahly útok v blízkej budúcnosti pomocou infikovaných počítačov.
„Najpravdepodobnejší scenár je, že cieľom online podvodníkov je rýchle infikovanie veľkého počtu počítačov. Po ich infikovaní sa do nich dajú ľahko stiahnuť ďalšie infekcie zamerané na ekonomický zisk. Môže ísť napríklad o trojany, ktoré kradnú heslá k online bankingu alebo podvodné antimalware programy, ktoré neustále generujú vyskakovacie okná, ktoré používateľovi oznamujú, že má infikovaný počítač a že sa nebude dať vôbec používať, kým si nezakúpi údajný liek,“ vysvetľuje Luis Corrons, technický riaditeľ PandaLabs. Produkty Panda Security proaktívne detekujú túto rodinu červov. Ich používatelia sú tak pred touto hrozbou po celý čas chránení.
Tento typ červa sa veľmi podobá na tie, ktoré sa objavili pred niekoľkými rokmi a ktoré spôsobili hromadné infekcie, napríklad „Melissa“ a „I love you“. Podobne ako oni, aj Conficker sa pokúša infikovať maximálny počet počítačov. Rozdiel je v tom, že zatiaľ čo sa tieto červy šírili disketami, tento využíva USB zariadenia.
Ak si chcete skontrolovať, či váš počítač nie je infikovaný variantom Confickera, PandaLabs odporúča:
- Správcovia firemných IT sietí by mali prekontrolovať možné zraniteľnosti v zariadeniach.
- Servery a pracovné stanice by mali mať záplatu, ktorú obsahuje Microsoft Bulletin: http://www.microsoft.com/technet/security/Bulletin/MS08–067.mspx
- Dezinfikovať postihnuté zariadenia pomocou antivírusu alebo voľne dostupných nástrojov Malware Radar pre firemné siete alebo ActiveScan pre osobné počítače.
- Deaktivovať AutoRun pre USB zariadenia
- Uistiť sa, že všetky antivírusové a bezpečnostné riešenia sú aktualizované najnovšou vírusovou databázou a že sa jedná o najnovšie verzie produktu.
Viac informácií môžete získať na výskumnom blogu Panda Research Blog: http://research.pandasecurity.com/archive/Warning_3A00_-Conficker-worm-infections-gaining-traction.aspx
