Ormen Downadup har inficeret masser af computere, men endnu er formålet ukendt, skriver Shehzad Ahmad fra DK-CERT i denne måneds klumme om it-sikkerhed.
Af chefkonsulent Shehzad Ahmad, UNI•C, leder af DK•CERT – Shehzad.Ahmad@uni-c.dk
Den sidste måned har stået i Downadups tegn. For første gang i flere år har en orm inficeret millioner af pc'er på internettet.
Hvor effektiv ormen har været, er usikkert. Antivirusfirmaet F-Secure har anslået, at godt ti millioner pc'er er ramt. Andre sætter tallet lavere.
Under alle omstændigheder er Downadup, som Microsoft kalder Conficker, særdeles effektiv. Det skyldes, at den anvender flere metoder til både den første infektion og den efterfølgende hentning af kode.
Downadup spreder sig på tre måder. For det første udnytter ormen en sårbarhed i Windows' RPC-tjeneste (Remote Procedure Call). Microsoft udsendte en ekstraordinær rettelse i oktober (sikkerhedsbulletin MS08-067), der lukker sikkerhedshullet.
Infektionen sker ved, at ormen prøver at forbinde sig til RPC-tjenesten på den anden pc. Hvis det lykkes, kører der et program, som får pc'en til at forbinde sig til en port på den inficerende pc. Over denne forbindelse overføres ormeprogrammet til det nye offer.
Angriber over lokalnet
Infektion via MS08-067 er især effektiv til at ramme computere via internettet. De to andre metoder er mere egnede til at inficere flere computere på et lokalnet, efter at en enkelt pc er blevet ramt.
Downadup forsøger at forbinde sig til andre pc'er på lokalnettet. Den henter en liste over brugernavne og afprøver dem derefter sammen med en liste over passwords.
Hvis det lykkes den at logge ind, kopierer den sig selv over på den anden pc.
Endelig kopierer den sig til drev, der er udstyret med et drev-bogstav. Her sørger den for også at placere en Autorun-fil.
Hvis drevet er et flytbart USB-drev, vil programmet automatisk blive kørt, når det sættes i en pc, hvor Autorun i Windows er slået til.
Kan hente software
Men hvad skal det hele til for? Foreløbig har ormen udelukkende set ud til at være interesseret i at sprede sig.
Den har imidlertid en indbygget funktion til at hente yderligere skadelige programmer. Faktisk har den to.
Den ene funktion downloader programkode fra servere med domænenavne, som ormen konstruerer ud fra en algoritme.
Den anden funktion bygger på peer-to-peer-teknologi. Når en pc inficeres via MS08-067-sårbarheden, sørger Downadup for at lukke sikkerhedshullet. På den måde sikrer den, at andre orme ikke overtager pc'en.
Men hullet lukkes ikke mere grundigt, end at ormen overvåger forsøg på at udnytte det. Hvis den opdager, at en anden pc forsøger at inficere pc'en med Downadup på ny, opretter den forbindelse til pc'en. Herefter kan ormen hente skadelige programmer fra den.
Ifølge en analyse fra Symantec har Downadup en indbygget mekanisme til at sikre, at den kun henter software, som dens bagmænd har sagt god for. Andre kan altså ikke udnytte den til at installere programmer på de pc'er, den har inficeret.
Tilpasser sig
En af årsagerne til Downadups store udbredelse er, at dens udviklere har gjort den fleksibel. Angrebet på sårbarheden skal således laves lidt forskelligt alt efter Windows-version og -sprog.
Kina har været det land, der har været hårdest ramt. Det kan hænge sammen med, at når ormen kører på en kinesisk pc, forsøger den ikke at regne ud, hvilket sprog den pc anvender, som den prøver at angribe. I stedet antager den altid, at det er kinesisk. Den metode har åbenbart været effektiv.
En anden årsag kan være, at der er mange piratkopier i Kina, og dermed er det mere sandsynligt, at pc'erne ikke har slået automatiske opdateringer til.
Den første udgave af ormen indeholdt et tjek, der hindrede den i at inficere pc'er, der var sat op til at bruge ukrainsk tastatur. Så man kan gætte på, at bagmændene er fra Ukraine.
Dette tjek er dog fjernet i den nyeste version.
Hvad vil den?
Takket være en stor indsats fra sikkerhedsfirmaer og andre forskere ved vi i dag rigtig meget om, hvordan Downadup/Conficker virker.
Men vi ved stadig ikke, hvorfor den er udviklet.
Måske vil bagmændene udsende programkode, der gør hver inficeret pc til del i et botnet, som de kan fjernstyre.
Måske vil de skræmme ofrene med oplysninger om, at deres pc er inficeret – og med et tilhørende tilbud om at købe et antivirusprogram til at fjerne infektionen med. Ifølge Symantec ligner koden noget, man tidligere har set fra firmaer, som laver den slags falske sikkerhedsprogrammer.
Oprindelig bragt på Computerworld Online den 30. januar 2009
LINKS
Microsofts information om Conficker
Blog fra Symantec om ormens spredningsfunktion
Blog fra F-Secure om dens udbredelse