Tuesday, 31 March 2009

Jak działa Conficker?

Do tej pory o robaku Conficker pisało się dużo, ale przy okazji niekonkretnie. Teraz garść informacji, które mogą być faktycznie przydatne dla administratorów serwisów.

Botnet Conficker, jeden z najgroźniejszych i najbardziej medialnych robaków internetowych, wykorzystuje do komunikacji ze swoim centrum kontroli (Command & Control) protokół HTTP, łącząc się z serwerem (serwerami) kontroli (tzw. kontrolerem) na porcie 80. w celu pobrania nowego pliku binarnego.

Serwery, z którymi łączy się bot, lokalizowane są z wykorzystaniem DNS, poprzez pseudolosową codzienną generację nowej listy kilkuset domen (najnowsza wersja Confickera generuje nawet 50 000 domen dziennie – najbardziej obecnie popularna wersja generuje tylko 450 domen).

Conficker odpytuje DNS o każdą domenę z listy i próbuje połączenia z uzyskanym w ten sposób adresem IP, licząc na to, że pod którymś adresem znajdzie swój serwer kontroli. Tylko niektóre z wygenerowanych domen wskazują na serwer ze złośliwym kodem, co nie zmienia faktu, że wiele serwerów może zostać odpytanych "przy okazji" przez poszczególne boty, a więc serwery, na których postadowione są zupełnie niewinne serwisy WWW.

Takie (prawdopodobnie) niezamierzone przez twórców tego robaka działanie może hipotetycznie doprowadzić do ataku Distributed Denial of Service na istniejące serwisy WWW.

Specjaliści zajmujacy się analizą kodu Confickera uzyskali na szczęście algorytm, którym posługuje się Conficker w celu wygenerowania listy domen – celów ataku/pobrania nowych binariów. Część tych domen jest już dawno zarejestrowana, a pod tymi nazwami znajdują się różnorakie serwisy, jak chociażby witryna www.nask.pl. Każda domena na liście może być celem nieświadomego ataku Confickera, skutkując poważnymi zaburzeniami w funkcjonowaniu serwisów.

Na stronie www.conficker.pl publikujemy listę nazw domen, które mogą być celem takiego nieświadomego ataku bota.

Jeśli Twoja domena znajduje się na tej liście, warto przedsięwziąć środki celem zmniejszenia skutków ewentualnego ataku DoS (Denial of Service) na Twój serwis WWW.