Conficker Worm Mendapat Evil Twin

Para penjahat di balik worm Conficker yang tersebar luas telah merilis versi baru dari malware yang dapat menandakan perubahan besar dalam cara worm beroperasi.

Varian baru, yang dijuluki Conficker B ++, ditemukan tiga hari lalu oleh para peneliti SRI International, yang mempublikasikan rincian kode baru di Kamis. Untuk mata yang tidak terlatih, varian baru ini terlihat hampir identik dengan versi sebelumnya dari worm, Conficker B. Tetapi varian B ++ menggunakan teknik baru untuk mengunduh perangkat lunak, memberikan lebih banyak fleksibilitas kepada penciptanya tentang apa yang dapat mereka lakukan dengan mesin yang terinfeksi.

Mesin yang terinfeksi-konficker dapat digunakan untuk hal-hal yang tidak menyenangkan - mengirim spam, mencatat keystroke, atau meluncurkan serangan penolakan layanan (DoS), tetapi grup ad hoc yang menyebut dirinya Conficker Cabal telah mencegah hal ini terjadi. Mereka telah membuat Conficker terkendali dengan meretas algoritme yang digunakan perangkat lunak untuk menemukan satu dari ribuan titik pertemuan di Internet di mana ia dapat mencari kode baru. Titik-titik pertemuan ini menggunakan nama domain yang unik, seperti pwulrrog.org, bahwa Conficker Cabal telah bekerja keras untuk mendaftar dan menjauhkan dari tangan para penjahat.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Varian B ++ baru menggunakan algoritme yang sama untuk mencari titik pertemuan, tetapi juga memberikan dua teknik baru kepada pembuatnya yang mengabaikannya. Itu berarti teknik Cabal yang paling sukses dapat dilewati.

Conficker mengalami penulisan ulang besar pada bulan Desember, ketika varian B dirilis. Tetapi versi B ++ terbaru ini termasuk perubahan yang lebih halus, menurut Phil Porras, seorang direktur program SRI. "Ini adalah set perubahan yang lebih bedah yang telah mereka buat," katanya.

Untuk meletakkan segala sesuatu dalam perspektif: Ada 297 subrutin dalam Conficker B; 39 rutinitas baru ditambahkan dalam B ++ dan tiga subrutin yang ada dimodifikasi, SRI menulis dalam laporan tentang varian baru. B + + menunjukkan bahwa "para pembuat malware mungkin mencari cara baru untuk menghilangkan kebutuhan akan poin-poin pertemuan Internet sama sekali," kata laporan itu.

Porras tidak dapat mengatakan berapa lama Conficker B ++ telah beredar, tetapi pertama kali muncul pada 6 Februari., menurut seorang peneliti menggunakan nama samaran Jart Armin, yang bekerja di situs Web Hostexploit.com, yang telah melacak Conficker.

Meskipun dia tidak tahu apakah B ++ dibuat sebagai tanggapan terhadap pekerjaan Cabal, "itu membuat botnet lebih kuat dan itu mengurangi beberapa pekerjaan Cabal, "kata CEO Dukungan Inteligensi Rick Wesson dalam wawancara email.

Juga dikenal sebagai Downadup, Conficker menyebar menggunakan berbagai teknik. Ini mengeksploitasi bug Windows yang berbahaya untuk menyerang komputer di jaringan area lokal, dan itu juga dapat menyebar melalui perangkat USB seperti kamera atau perangkat penyimpanan. Semua varian Conficker sekarang telah menginfeksi sekitar 10,5 juta komputer, menurut SRI.