Conficker roert zich

Experts waarschuwen dat de Conficker worm eender wanneer kan worden geactiveerd, en dat blijkt het geval sinds woensdag. Het doel is nog niet duidelijk.

Experts waarschuwen dat de Conficker worm eender wanneer kan worden geactiveerd, en dat blijkt het geval sinds woensdag. Het doel is nog niet duidelijk.

Hoewel de hele wereld zowat zijn adem inhield op 1 april, kwam van de mogelijke Conficker-worm activiteit op die dag weinig in huis. De waarschuwing dat de worm op geïnfecteerde systemen eender wanneer kan worden geactiveerd, werd wel bewaarheid op dinsdag 7 april.

Securitybedrijven zagen hoe de worm een aantal systemen begon up te daten via peer-to-peer contacten, waarbij een geëncrypteerde lading in de machines werd gedeponeerd, in combinatie met een rootkit. De worm bleek tevens een aantal sites te contacteren, allicht om te testen of het systeem beschikt over een internet connectie (de besmetting van een systeem kan ook vanaf een datadrager zonder een internetkoppeling gebeuren).

De nieuwe component lijkt wel zichzelf na 3 mei uit te schakelen. Voorts blijkt er ook een link te bestaan met een site die gekend is van de Waledac malware (een afstammeling van de Storm worm en gekend omwille van datadiefstal etc.). De nieuwe variant wordt aangeduid als Downad.E.

De verschillende securitybedrijven (Trend Micro, Symantec,….) bieden info over deze ontwikkeling.

Eens te meer moet de moraal van het verhaal zijn dat blijvende waakzaamheid geboden is, en niet alleen inzake Conficker/Downad. Inspanningen om systemen te testen op besmetting door Conficker/Downad moeten worden voortgezet, maar algemeen bevestigt dit de noodzaak om de verdediging van pc’s en servers continu op peil te houden. De sitlte in plaats van de storm op 1 april is geen garantie dat er toch niet alsnog zwaar weer voordoet.