Os membros do Honeynet Project, Tillmann Werner e Felix Leder, descobriram que PCs infectados retornam mensagens de erro quando recebem mensagens Remote Procedure Call (RPC).
PCs infectados com o Conficker.c, terceira versão do worm, estabelecerão um link com servidores para que os crackers responsáveis pelo malware mandem mais códigos maliciosos. O prazo estimado para download é 1º de abril.
"Você pode perguntar a um serviço se está infectado com Conficker, e ele lhe dirá", afirmou Dan Kaminsky, pesquisador de segurança responsável pela falha no Domain Name System, em seu blog.
Após publicada, a tecnologia foi modificada e adicionada a sistemas de detecção corporativos de empresas como McAfee, nCircle e Qualys, que serão atualizados.
O software de código aberto Nmap também deverá incluir a atualização para apontar uma suposta infecção.
Máquinas infectadas respondem a mensagens RPC de maneira diferente já que o worm, que explora uma falha no Windoww corrigida em outubro pela Microsoft, usa um patch próprio para "fechar a porta" após a infecção.
Resolver uma falha de segurança após explorá-la é uma tática comum entre criminosos para prevenir que outros crackers usem o mesmo caminho para roubar informações.
Por corrigir a falha que explora, o Conficker dificulta a detecção de máquinas infectadas por softwares de segurança. A descoberta de Werner e Leder é uma maneira de indicar se a correção no PC é legítima ou não.
O patch aplicado pelo worm, porém, não fecha totalmente a brecha de segurança no Windows, o que faz com que muitos se preocupem que a ferramenta divulgada pelos pesquisadores possa ser usada por criminosos que queiram sequestrar as cerca de 12 milhões de máquinas infectadas com Conficker.
"Não acho que a falha será explorada por qualquer um além dos autores do Conficker", disse ele. "Este é um time esperto, determinado e atualizado".
Werner e Leder publicarão mais informações sobre suas descobertas em um estudo chamado "Know Your Enemy: Containing Conficker -- To Tame a Malware", que será publicado no site da Honeynet Project quando estiver pronto.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário