De Conficker-worm komt dan toch tot leven. Volgens Trend Micro is het virus zichzelf aan het updaten via een P2P-verbinding tussen de besmette computers. Tegelijk downloadt het ook nieuwe, voorlopig onbekende, data. Onderzoekers analyseren de code die wordt binnengehaald op geïnfecteerde computers. Ze vermoeden dat het om een programma gaat om de toetsaanslagen bij te […]

Advertentie

De Conficker-worm komt dan toch tot leven. Volgens Trend Micro is het virus zichzelf aan het updaten via een P2P-verbinding tussen de besmette computers. Tegelijk downloadt het ook nieuwe, voorlopig onbekende, data.

Onderzoekers analyseren de code die wordt binnengehaald op geïnfecteerde computers. Ze vermoeden dat het om een programma gaat om de toetsaanslagen bij te houden. Op die manier is het mogelijk om gevoelige informatie te stelen.

De bewuste data is een .sys-component die zich verstopt achter een rootkit. Daarmee kan het volgens Trend Micro verbergen dat de computer werd besmet. De onderzoekers van het bedrijf hebben moeite met hun analyse, want alles is zwaar geëncrypteerd.

3 mei
De worm probeert ook verbinding te maken met Myspace.com, Msn.com, Ebay.com, Cnn.com en Aol.com. Zo achterhaalt hij of er een actieve verbinding is. Volgens de TrendLabs Malware Blog zal de worm achteraf alle sporen op de besmette computer uitwissen en legt hij zichzelf stil op 3 mei.

Geen garantie
Dat Conficker dat van plan is, vormt echter geen veiligheidsgarantie. “Na 3 mei schakelt het zichzelf uit en kopieert het zichzelf niet meer”, zegt David Perry, hoofd voor security education bij Trend Micro. “Toch kunnen geïnfecteerde computers nog steeds van op afstand bediend worden voor andere zaken.”

Vorige week verwachtten securityexperts wereldwijd dat Conficker zich zou activeren op 1 april. Die verrassing bleef echter uit. Bij de nieuwste ontdekking dacht men aanvankelijk aan een nieuwe variant, maar het blijkt om een nieuwe component van de worm te gaan.

Het virus verspreidt zich via een lek in Windows dat Microsoft in oktober al heeft gepatcht. Ook via draagbare media zoals USB-sticks en netwerken met zwakke wachtwoorden zoekt Conficker zijn weg naar nieuwe slachtoffers. Volgens Perry wordt het aantal besmette computers wereldwijd geschat op drie tot twaalf miljoen.

Online test
Omdat de worm virusscanners uitschakelt en de toegang naar beveiligingssites blokkeert, is het soms moeilijk om de infectie te ontdekken. Daarom kunt u zowel op Confickerworkinggroep.org als bij de Duitse universiteit van Bonn een snelle online test doen om te kijken of uw machine is besmet.

Met een bijdrage van CNet.

 

Advertentie