Ny variant af Conficker/Downadup ormen opruster til e-krig. Den distribueres til allerede inficerede systemer - og går målrettet efter at afbryde antivirussoftware og forskellige sikkerheds- og analyseværktøjer.
Symantec meddeler på deres blog, at de har fundet en ny variant af Conficker/Downadup ormen, der i første udgave startede sin hærgen i slut oktober 2008. Den nyopdagede C-variant har fået indbygget selvforsvarskode - og forsøger nu at bevare kontrollen over de allerede inficerede computere. Botnet bagmændene tager kampen op for at beholde deres zombier.
Helt specifikt forsøger den at stoppe kørende processer, som kan bruges til enten at identificere, fjerne eller reducere ormens arbejdsmuligheder. Det er processer med følgende strengtekster den går efter: Wireshark, unlocker, tcpview, sysclean, scct_, regmon, procmon, procexp, ms08-06, mrtstub, mrt., mbsa., klwk, kido, kb958, kb890, hotfix, gmer, filemon, downad, confick, avenger og autoruns.
En anden indikator er en 200 ganges forøgelse i den domænegenerator den har indbygget, rettet mod kommunikation med Command & Control Servere. I B-varianten genererede den 250 domæner pr dag - som Conficker tjekkede for nye opdateringer. Men i C-varianten er listen øget til 50.000 domæner om dagen! Når blot én inficeret computer frem til en C&C server, så kan den efterfølgende opdatere andre ved hjælp af peer-2-peer funktionalitet.
Vincent Weafer, Vice President, Symantec Security Response, siger til Networkworld, at de endnu kun har set varianten som en opdatering sendt til en eksisterende udgave i en honeypot - men det sandsynligvis kun er et spørgsmål om tid før den er selvspredende.
Samtidig mener Vincent Weafer, at den verdensomspændende oprydningsindsats har reduceret antallet af nuværende Conficker/Downadup inficeringer - fra flere millioner til størrelsesordnen hundredtusinde. Trods en positiv nedgang - så er antallet stadig overvældende.
Selvom det er påfaldende defensive tiltag denne tidlige analyse fremhæver, så er jeg sikker på, at denne drejning ikke må tolkes som et svaghedstegn i sig selv. Det er nærmere en indikator på, at bagmændene er omstillingsparate og vil prøve alt for at bevare deres botnet.
Måske har bagmændene læst The Art of War af Sun Tzu. Deres nuværende strategi passer i hvert fald meget godt med dette citat: Invincibility lies in the defence; the possibility of victory in the attack.