Conficker: Ο πιο έξυπνος ιός και η … πρωταπριλιά

Αν σήμερα ήταν πραγματικά πρωταπριλιά και σας έλεγα πως ενας ιός που έχει μολύνει περίπου 15.000.000 υπολογιστές μπορεί να κάνει αυτόματη ανανέωση –ala Windows Update- , έχει δημιουργήσει ενα P2P δίκτυο μεταξύ των θυμάτων του για ανταλλαγή αρχείων, είναι κρυπτογραφημένος με το MD6 hash και την 1η Απριλίου 2009 θα κατεβάσει ενα –εντελώς άγνωστο- αρχείο απο μια –εντελώς άγνωστη- τοποθεσία, το οποίο και θα εκτελέσει σε όλους αυτούς τους υπολογιστές, θα λέγατε πως είναι πρωταπριλιάτικο αστείο…

Για αυτό επέλεξα να γράψω το άρθρο σήμερα. Διότι όλα τα παραπάνω, είναι αλήθεια και κανείς δεν γνωρίζει τι ακριβώς θα εκτελεστεί απο την τρίτη “έκδοση” – “Conficker/DownUp C” – του πιο επικίνδυνου ιού που δημιουργήθηκε ποτέ!

Είχα αναφερθεί σε προηγούμενο άρθρο, στις δυνατότητες των δημιουργών ιών, που πλέον στοχεύουν σε πιο απτά αποτελέσματα απο μια απλή παρακολούθηση (spyware) ή προβολή διαφημίσεων. Όλα δείχνουν πως η επέλαση του πιο έξυπνου ιού δεν μπορεί να εμποδιστεί εύκολα, καθώς οι άνθρωποι πίσω απο την δημιουργία του, τον ανανεώνουν συνεχώς, έχοντας εμπλακεί σε εναν ιδιότυπο πόλεμο με τις εταιρίες ανάπτυξης λογισμικού προστασίας, σε μια προσπάθεια να δημιουργήσουν ενα τεράστιο botnet που θα χρησιμοποιήσουν κατα βούληση και ανα πάσα στιγμή.

Ένα αρχείο μολυσμένο με τον ιό Conficker, εφόσον εκτελεστεί, θα καταργήσει ορισμένα services με βασικότερο όλων το Windows Update. Ακολούθως, απενεργοποιεί μεγάλη μερίδα antivirus ή άλλων προγραμμάτων αντιμετώπισης ιών. Εμποδίζει την πρόσβαση σε μερίδα ιστοσελίδων antivirus προγραμμάτων και βέβαια δεν κάνει ιδιαίτερα αισθητή την παρουσία του για εναν μέσο και όχι ιδιαίτερα παρατηρητικό χρήστη.

Μετά την εγκατάσταση του, εκκινεί εναν Web Server και προσπαθεί να εντοπίσει άλλους υπολογιστές στο ίδιο δίκτυο, στους οποίους δοκιμάζει μια σειρά κωδικών πρόσβασης (μέσω του Server Service σε όλες τις εκδόσεις των Windows) τη λεγόμενη dictionary attack. Σύμφωνα με τους μελετητές του ιού, οι επιλογές κωδικών που κάνει, δεν είναι διόλου τυχαίες καθώς βασίζονται σε αποτελέσματα μελετών που έγιναν στο παρελθόν, ως προς τις επιλογές κωδικών που κάνει ο μέσος χρήστης. Για παράδειγμα το … ταπεινό 1234 χρησιμοποιείται πολύ συχνότερα απο όσο φαντάζεστε.

Εαν αποτύχει σε αυτή την προσπάθεια, δοκιμάζει να εκμεταλλευτεί ενα γνωστό κενό ασφαλείας (πάλι του Server Service – RPC) δημιουργώντας στο RPC ένα buffer overflow και ακολούθως εκτελεί shellcode που ανακατευθύνει τον απομακρυσμένο υπολογιστή στον Web Server που έχει δημιουργήσει. Απο εκεί, ο υπολογιστής θύμα, κατεβάζει binary κώδικα και δημιουργεί ενα dll που φορτώνεται ως υπηρεσία συστήματος.

Πλέον, και αυτός ο υπολογιστής με τη σειρά του, θα φροντίσει να επεκταθεί σε όσο περισσότερους γειτονικούς υπολογιστές μπορεί…Με εναν ακόμα τρόπο… Μέσω των USB flash που συνδέονται σε αυτόν.

Στην τρίτη του έκδοση, ο ιός χρησιμοποιεί νόμιμες οδούς για παράνομες πρακτικές. Μια απο αυτές είναι η χρήση MD6 hash – νεότατο, δεν έχει ξαναχρησιμοποιηθεί – στον κώδικα του και –πιθανώς- στις επικοινωνίες με άλλα μολυσμένα συστήματα. Επίσης, χρησιμοποιεί την τεχνολογία των ψηφιακών υπογραφών, ωστε να ελέγχει πως οτιδήποτε κατεβάζει απο το internet είναι πράγματι αυτό που έχουν επιλέξει οι δημιουργοί του!

Το ακόμα πιο ανησυχητικό, είναι το Peer 2 Peer πρωτόκολλο που διασυνδέει όλους τους υπολογιστές θύματα. Αυτό επιτρέπει την ταχύτατη εξάπλωση αρχείων μεταξύ των υπολογιστών αυτών, κρυπτογραφημένα –ωστε να μην εντοπίζεται η βλαβερή κίνηση στο backbone- και σε τρομερά μικρούς χρόνους. Το κυριότερο όμως τρικ είναι το εξής:

Ας πούμε πως όταν ο Conficker θέλει να κάνει … update. Συνδέεται σε μια ιστοσελίδα για να κατεβάσει την νέα του έκδοση. Αν οι Αρχές εμποδίσουν την πρόσβαση σε αυτή την ιστοσελίδα για όλο τον κόσμο, τότε αποδυναμώνουν τον ιό. Στην περίπτωση όμως του Conficker, όλα μοιάζουν με τις … εκτελέσεις αιχμαλώτων όπου κανείς δεν γνωρίζει ποιός είχε την πραγματική σφαίρα στη θαλάμη, αλλά μοιράζονται τις ενοχές.

Έτσι, την 1η Απριλίου, ο κάθε μολυσμένος υπολογιστής θα συνδεθεί σε διαφορετικό website –κάτι σαν τυχαία επιλογή- με αποτέλεσμα να μην μπορεί να εντοπιστεί ποιό από όλα αυτά τα site φιλοξενούσε το update! Αφού λοιπόν, έστω ένας υπολογιστής-ζόμπι, λάβει την πραγματική “αναβάθμιση”, θα την μοιράσει μέσω του κρυπτογραφημένου P2P δικτύου σε όλους τους άλλους! Και πάλι χωρίς να γίνει αντιληπτό το παραμικρό.

Το αρχείο που θα κατεβάσει, δεν γνωρίζει κανείς τι θα είναι και τι ακριβώς θα κάνει…Το πιο ανησυχητικό μάλιστα, είναι πως έως τώρα ο ιός, δεν έχει κάνει απολύτως τίποτα…

Η Microsoft προσφέρει $250.000, σε όποιον δώσει πληροφορίες για τη σύλληψη των δημιουργών του Conficker. Οι εταιρίες antivirus, διαθέτουν εργαλεία καθαρισμού, αλλά τίποτα δεν μπορεί να τους ηρεμήσει, καθώς η τεχνογνωσία των δημιουργών του ιού και οι μέθοδοι που χρησιμοποιούν αποδεικνύουν πως περάσαμε στην εποχή των έξυπνων ιών.

Τώρα, για να ελέγξετε εαν είστε μολυσμένοι απο τον διαβόητο Conficker, αρκεί να δοκιμάσετε να επισκεφτείτε τη διεύθυνση http://www.f-secure.com . Εάν δεν είναι δυνατή η πρόσβαση, τότε ή έχετε κολλήσει τον Conficker ή κάποιο άλλο Malware.

Μένει να δούμε τι ακριβώς θα συμβεί –αν συμβεί- την 1η Απριλίου. Αυτό όμως είναι το λιγότερο. Η κερκόπορτα έχει ανοίξει.