Conficker, Ancaman Nomor 1 Internet, Mendapat Update

Peneliti keamanan mengatakan cacing yang telah menginfeksi jutaan komputer di seluruh dunia telah diprogram ulang untuk memperkuat pertahanannya sementara juga mencoba menyerang lebih banyak mesin.

Conficker, yang memanfaatkan kerentanan dalam perangkat lunak Microsoft, telah menginfeksi setidaknya 3 juta PC dan mungkin sebanyak 12 juta, membuatnya menjadi botnet besar dan salah satu masalah keamanan komputer paling parah dalam beberapa tahun terakhir.

Botnet dapat digunakan untuk mengirim spam dan menyerang situs Web lain, tetapi mereka harus dapat menerima instruksi baru. Conficker dapat melakukan dua cara ini: ia dapat mencoba mengunjungi situs Web dan mengambil petunjuk atau dapat menerima file melalui jaringan P-to-P terenkripsi yang dibuat secara khusus.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Selama hari terakhir atau lebih, peneliti dengan Websense dan Trend Micro mengatakan beberapa PC yang terinfeksi dengan Conficker menerima file biner melalui P-to-P. Kontroler Conficker telah terhambat oleh upaya komunitas keamanan untuk mendapatkan arah melalui situs Web, sehingga mereka sekarang menggunakan fungsi P-to-P, kata Rik Ferguson, penasihat keamanan senior untuk vendor Trend Micro.

binary memberitahu Conficker untuk memulai pemindaian untuk komputer lain yang belum menambal kerentanan Microsoft, kata Ferguson. Pembaruan sebelumnya mengubah kemampuan itu, yang mengisyaratkan bahwa pengendali Conficker mungkin berpikir botnet telah tumbuh terlalu besar.

Tapi sekarang, "itu pasti menunjukkan mereka [penulis Conficker] sedang mencari untuk mengendalikan lebih banyak mesin," kata Ferguson.

Pembaruan baru ini juga memberitahu Conficker untuk menghubungi MySpace.com, MSN.com, Ebay.com, CNN.com dan AOL.com tampaknya untuk mengkonfirmasi bahwa mesin yang terinfeksi terhubung ke Internet, kata Ferguson. Ini juga memblokir PC yang terinfeksi dari mengunjungi beberapa situs Web. Versi Conficker sebelumnya tidak akan membiarkan orang-orang merambah ke situs Web perusahaan keamanan.

Pada putaran lain, biner tampaknya diprogram untuk berhenti berjalan pada 3 Mei, yang akan mematikan fungsi-fungsi baru, katanya.

Ini bukan kali pertama Conficker dikodekan dengan instruksi berbasis waktu. Pakar keamanan komputer bersiap-siap untuk bencana pada tanggal 1 April, ketika Conficker dijadwalkan untuk mencoba mengunjungi 500 dari 50.000 situs web acak yang dihasilkan oleh algoritma internal untuk mendapatkan instruksi baru, tetapi hari itu berlalu tanpa insiden.

Juga mengkhawatirkan adalah bahwa pembaruan baru memberitahu Conficker untuk menghubungi domain yang dikenal berafiliasi dengan botnet lain yang disebut Waledec, kata Ferguson. Botnet Waledec tumbuh dengan cara yang mirip dengan cacing Storm, botnet besar lain yang kini telah memudar tetapi digunakan untuk mengirim spam. Itu berarti mungkin kelompok yang sama dapat dikaitkan dengan ketiga botnet, kata Ferguson.

Meskipun Conficker tampaknya belum digunakan untuk tujuan jahat, itu masih tetap menjadi ancaman, kata Carl Leonard, sebuah penelitian ancaman. manajer untuk Websense di Eropa. Fungsionalitas P-to-P menunjukkan tingkat kecanggihan, katanya.

"Jelas mereka telah berusaha keras untuk mengumpulkan mesin-mesin ini," kata Leonard. "Mereka ingin melindungi lingkungan mereka dan meluncurkan pembaruan ini dengan cara mereka dapat memanfaatkannya sebaik-baiknya."

Tidak semua komputer yang terinfeksi Conficker akan selalu diperbarui dengan cepat. Untuk menggunakan fungsi pembaruan P-to-P, PC yang terinfeksi Conficker harus mencari PC terinfeksi lainnya, proses yang tidak segera, Ferguson.

Mengingat bahwa pakar keamanan sangat berbeda tentang berapa banyak komputer yang mungkin terinfeksi Conficker, sulit untuk mengatakan berapa persentase yang memiliki pembaruan baru.

Trend Micro dan Websense keduanya memperingatkan temuan mereka sebagai pendahuluan, karena pembaruan biner masih sedang dianalisis.

Meskipun Microsoft mengeluarkan patch perangkat lunak darurat pada Oktober lalu, Conficker terus memanfaatkan PC yang belum ditambal. Bahkan, beberapa varian Conficker akan benar-benar menambal kerentanan setelah mesin terinfeksi sehingga tidak ada malware lain yang dapat memanfaatkannya.