Grup Conficker Mengatakan Worm 4,6 Juta Kuat

Para ahli keamanan mengatakan bahwa worm Conficker telah terinfeksi banyak sekali komputer, menjadikannya "botnet" terbesar dari komputer yang diretas di planet ini. Hal yang tampaknya tidak mereka sepakati, bagaimanapun, adalah persis berapa banyak orang yang telah dipukul.

Kelompok peneliti yang telah menjelajah paling dekat - dan berjuang - cacing ini sekarang telah merilis perkiraannya sendiri. Ukuran Conficker. Menurut data yang dikumpulkan oleh Kelompok Kerja Conficker, Conficker telah terlihat hanya di bawah 4,6 juta alamat IP unik. Variasi A dan B yang sebelumnya merupakan bagian terbesar dari itu - 3,4 juta alamat IP - dengan varian C yang lebih baru ditemukan pada 1,2 juta alamat.

Negara-negara yang mengukur jumlah infeksi terbesar untuk semua varian adalah China, Brasil, dan Rusia.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Conficker telah menginfeksi komputer Windows sejak Oktober, tetapi dalam beberapa minggu terakhir ini telah mendapatkan banyak perhatian sebagai versi yang lebih baru dari worm, Conficker.C, telah memperbarui cara mencari instruksi, membuatnya lebih sulit untuk dihentikan.

Selama akhir pekan lalu, Conficker menginfeksi hampir 800 PC di Pusat Ilmu Kesehatan Universitas Utah. Staf TI di sana berpikir itu mungkin ada di jaringan melalui thumb drive yang terinfeksi. Setelah diinstal pada satu PC, Conficker sangat efektif dalam mencari mesin Windows unpatched lainnya untuk menyebar.

Pengguna yang bertanya-tanya apakah mereka terinfeksi oleh worm dapat mencoba tes sederhana ini yang dikembangkan oleh SecureWorks.

Penelitian dilakukan dua minggu lalu oleh OpenDNS dan kelompok Sistem Keamanan Internet IBM telah menyarankan bahwa sebanyak 4 persen PC mungkin telah dipukul dengan cacing Conficker, tetapi analisis Kelompok Kerja menunjukkan jumlahnya mungkin jauh lebih rendah.

"Kami berharap bahwa mempublikasikan angka-angka ini akan memberikan sedikit realitas ke dalam persamaan, "kata Andre DiMino, salah seorang pendiri Yayasan Shadowserver dan anggota Kelompok Kerja. Dia tidak percaya bahwa 4 persen PC terinfeksi. "Sulit untuk membuat kasus untuk itu sekarang," katanya.

Tapi jumlah sebenarnya infeksi bisa lebih tinggi atau lebih rendah dari 4,6 juta, DiMino mengaku. Karena metode Kelompok Kerja menghitung alamat IP, mereka mungkin menghitung terlalu banyak konsumen yang masuk dari beberapa alamat IP, atau infeksi perusahaan yang jumlahnya sedikit, yang sering tersembunyi di balik satu alamat IP.

OpenDNS, IBM, dan Kelompok Kerja semua menggunakan teknik yang berbeda untuk sampai pada perkiraan mereka, tetapi mereka semua bergantung pada fakta bahwa mesin yang terinfeksi perlu memeriksa dengan "perintah dan kontrol" server untuk instruksi. Kelompok Kerja mendapatkan datanya dengan membuat server "sinkhole" pada titik-titik di Internet yang digunakan oleh mesin yang terinfeksi untuk mengunduh instruksi. Mereka melakukan ini dengan mengambil alih domain Internet yang diprogram Conficker untuk dikunjungi guna mencari instruksi tersebut.

Jumlah infeksi yang diukur oleh Kelompok Kerja sejalan dengan perkiraannya terhadap varian awal cacing, DiMino mengatakan. "Tidak semua As dan Bs telah berubah menjadi C," katanya.

Untuk memperumit masalah lebih lanjut, varian baru Conficker terlihat minggu lalu, dan yang satu ini berkomunikasi terutama menggunakan teknik peer-to-peer, yang tidak mudah diukur oleh server lubang pembuangan Kelompok Kerja. Ini berarti kelompok mungkin perlu mengembangkan cara baru untuk menghitung infeksi karena penyebaran varian peer-to-peer, kata DiMino.

Meskipun data Kelompok Kerja, pada pandangan pertama, sangat berbeda dari IBM, hasilnya tidak mengherankan, menurut Holly Stewart, manajer respons ancaman dengan IBM Internet Security Systems (ISS). "Sangat sulit" untuk memperbaiki ukuran botnet, katanya. "Kurasa tidak ada yang punya jawaban sempurna," katanya. "Mereka memiliki satu titik data dan kami memiliki titik data lain."

"Jika Anda bertanya kepada saya berapa angka sebenarnya," tambahnya, "kami tidak tahu."