Como o Conficker pode atacar milhões de PCs em 1º de abril

30-03-2009 13:42

Ele está à espreita em milhões de computadores em todo o mundo. É incrivelmente sofisticado e flexível, com conexões ponto a ponto integradas e tecnologia de code-signing digital. Ele se diverte acabando com softwares de segurança. Em 1º de abril, o worm Conficker será ativado.

O mais assustador sobre o worm Conficker - também chamado Downadup - é que literalmente milhões de PCs infectados que operam com o Windows podem ser conectados em rede para fazer o seu lançamento. A segunda coisa mais assustadora é que ninguém sabe ao certo o que seu criador vai fazer com este exército virtual em 1º de abril, quando ele está programado para entrar em contato com um servidor para obter instruções. Ele é tão ruim que a Microsoft está oferecendo uma recompensa de US$ 250 mil pelo autor, vivo ou morto (Bem, eles provavelmente o querem vivo, mas eles o odeiam com força).

John Markoff, do New York Times, reuniu algumas das possibilidades mais engenhosamente maléficas em um interessante artigo, sendo a mais sinistra delas a de um "Dark Google" - levantada pelo pesquisador Stefan Savage da Universidade da Califórnia em San Diego - que iria permitir que pessoas más explorarassem máquinas zumbis em todo o mundo atrás de dados para vender para outras pessoas más. (Leia o artigo original, em inglês, pelo atalho http://tinyurl.com/cxr9km)

Mas vamos voltar um pouco. Conficker - cujo nome esquisito é uma combinação de "configuração" e uma palavra pouco mais educada que fucker, segundo o Urban Dictionary (veja no atalho http://tinyurl.com/d588pj) - começou a vida como um humilde worm "não muito bem sucedido" em novembro, diz Vincent Weafer, VP da Symantec Security Response. Weafer nos disse que ele explorava a vulnerabilidade de um servidor remoto da Microsoft que já tinha sido anunciada e corrigida no mês anterior, de modo que os únicos sistemas vulneráveis foram os que não tinham sido atualizados.

Já o lançamento da edição B do Conficker, promovido em dezembro, foi "bastante bem sucedido", diz Weafer. A praga infectou milhões de computadores não corrigidos, porque ele é um filho da mãe bem agressivo - o primeiro worm em anos em uma escala comparável ao Blaster. Ele tem capacidades de conexões integradas ponto a ponto e abre caminho à força para pastas ou impressoras compartilhadas abertas, para que ele possa se espalhar por uma rede de um escritório rapidamente. Ele também pega carona em USB flash drives e discos rígidos. Além de tudo isso, ele foi projetado para ser extremamente resistente, destruindo softwares de segurança, desabilitando o Windows Update, e mergulhando fundo nos computadores.

O lançamento da edição C saiu mês passado. Ele não vai atrás de máquinas novas - ele é na verdade uma espécie de update para computadores já infectados com o B. A versão C transformou o Conficker de uma pandemia de espirros em uma praga seriamente desagradável. Com o C, seus poderes de conexão ponto a ponto estão ainda mais alargados com o code-signing digital de modo que ele só aceita atualizações de código confiáveis dele mesmo. Isso significa que peritos de segurança não podem simplesmente injetar um código para neutralizá-lo. O patch também faz com que o Conficker seja mais eficiente em acabar com o software de segurança.

E ele também expandiu a quantidade de domínios que tenta contatar para obter instruções de 250 para 50 mil, neutralizando completamente a tática anterior dos peritos de segurança de derrubar os domínios. Não há nenhuma maneira eficaz para cortar a cabeça desta serpente demoníaca. O cenário está montado: Em 1 º de abril o Conficker vai buscar o próximo conjunto de instruções em uma cada vez mais forte zombienet.

Então o que vai acontecer?
Bem, ninguém sabe ao certo. O criador do Conficker pode fazer o que quiser com o seu exército. Lançar DoS attacks em massa, configurar a máfia do "Dark Google", atingir milhões de novas máquinas, ou gerar uma onda de spams que vai travar servidores em todo o mundo.

Porém, o mais provável, nos disse Weafer, é que o criador do Conficker seja motivado por dinheiro - eles vão alugá-lo. E se o Conficker for usado como uma poderosa ferramenta apocalíptica, eles vão "perder rapidamente a capacidade de fazer dinheiro" com ele. Uma operação discreta domando a potência dos computadores que estão localizados principalmente em países em desenvolvimento pode não ter um grande impacto, embora certamente abriria um terrível precedente: Independentemente dos resultados do Conficker, eles levarão outros a desenvolver esta ideia em novas direções assustadoras.

A abordagem inovadora do Conficker que utiliza conexão ponto a ponto, code-signing e uma configuração em domínio distribuído muito possivelmente irá servir de inspiração para outros programadores de malwares, os quais Weafer disse que "você pode apostar" que estão assistindo bem de perto o sucesso do Conficker, da mesma forma que os criadores do Conficker claramente aprenderam com as experiências obtidas com malwares anteriores. É como o código aberto do mal.

Isso não significa que o 1º de abril será um "Pearl Harbor digital." Se a sua máquina está com a correção e a atualização em dia, o Microsoft Report de Ed Bott (http://blogs.zdnet.com/Bott/) nos diz que você provavelmente estará totalmente bem. E sim, você pode se livrar dele mesmo se tiver sido infectado (no atalho http://tinyurl.com/8nbwux ).

Existe uma chance remota de que o Conficker possa se transformar num poderoso computador paralelo que chegue ao limite da autoconsciência, quando 1º de abril chegar. Porém, o mais do que provável é que o dia vá chegar e passar sem que você perceba nada de estranho, apenas alguns spams extras na sua caixa de entrada para algum V@ltr3xxx.

Fonte: Terra

 

Voltar

Procurar no site

© 2009 - lucianopedreira.eti.br - Todos os direitos reservados.