فعالیت مجدد ویروس Conficker
پس از هیاهوی “روز سیزده” درباره فعالیت های مخرب ویروس Conficker و گذشت بی سر و صدای روزهای 12 و 13 فروردین ماه (اول ماه آوریل)، از روز پنجشنبه 20 فروردین ماه، فعالیت جدید ویروس Conficker آغاز شده است.
پس از ماه ها بررسی و تحقیق توسط شرکت های امنیتی درباره نحوه به روز رسانی این ویروس و روش دریافت دستورات جدید از ویروس نویسان، اکنون مراجعه ویروس به مجموعه ای از سایت ها و دامنه هایی که با استفاده از یک فرمول پیچیده تعیین می شوند، نتیجه بخش نبوده و این سایت ها قبلاً از طریق اقدامات شرکت های امنیتی مسدود می شوند. لذا در فعالیت جدید ویروس Conficker، به جای استفاده از این سایت ها، فایل به روز رسانی جدید از طریق شبکه (P2P (Peer-to-Peer که بین کامپیوترهای آلوده ایجاد شده، بصورت رمزگذاری شده (encrypted) توزیع می شود. کارشناسان امنیتی نحوه ایجاد ارتباط بین کامپیوترهای آلوده از طریق شبکه P2P را پیشرفته و دقیق می دانند.
فایل به روز رسانی جدید، به ویروس دستور می دهد تا مجدداً شروع به جستجو و شناسایی کامپیوترهای آسیب پذیر و اصلاح نشده توسط اصلاحیه MS08-067 مایکروسافت کند. در به روز رسانی قبلی، این دستور لغو شده بود و به نظر می رسید که ویروس نویسان Conficker تمایلی به بزرگ شدن بیش از اندازه شبکه مخرب خود ندارند.
همچنین به ویروس دستور داده شده تا در فاصله های زمانی خاص با سایت های مشهوری نظیر MSN.com, CNN.com و… ارتباط برقرار کند. احتمالاًٌ این اقدام برای اطمینان از دسترسی ویروس به اینترنت است.
در به روز رسانی جدید ویروس Conficker، فهرست سایت هایی نیز که توسط ویروس مسدود می شوند، مورد تجدید نظر قرار گرفته و تغییراتی در آن داده است. تمامی دستورات فوق در روز سیزدهم اردیبهشت (سوم ماه میلادی می) لغو و فعالیت های مرتبط متوقف خواهند شد. تعیین تاریخ های خاص توسط نویسندگان ویروس Conficker باعث ایجاد شایعه و مطرح شدن نام این ویروس در رسانه های جمعی می شود. همانطوری که در به روز رسانی قبلی، به تاریخ اول آوریل اشاره شده بود و باعث هیاهوی جهانی درباره ویروس Conficker شد.
ولی شاید مهمترین اتفاقی که در به روز رسانی جدید این ویروس رخ داده است، تلاش ویروس برای ارتباط با سایتی است که همواره با شبکه مخرب (Botnet) قدیمی و مشهور Waledec مرتبط بوده است. در صورت ارتباط ویروس با این سایت خاص، فایل رمزگذاری شده ای، دریافت و بر روی کامیپوتر قربانی قرار می گیرد. شبکه مخرب Waledec در انجام بسیاری از عملیات مخرب بزرگ و گسترده جهانی، نظیر سرقت اطلاعات و ارسال انبوه هرزنامه (Spam) دخالت داشته است.
همچنین شرکت مک آفی اعلام کرده که گونه جدیدی از ویروس Conficker را مشاهده و نمونه هایی از آن را دریافت کرده است. این گونه جدید تحت نام Conficker.worm.gen.d توسط ویروس مک آفی با حداقل DAT 5579 قابل شناسایی خواهد بود. به علاوه ابزار مستقل Stinger مک آفی برای شناسایی تمام گونه های ویروس Conficker به روز شده و در این نشانی قابل دسترسی است.
