Tölvuóværa lætur á sér kræla í dag

Þriðja afbrigðið af tölvuóværunni Conficker C, eða Downadup, vaknar til lífsins að hluta til í dag 1. apríl en hún lamar vírusvarnir og uppfærslur á vélum eftir sýkingu. Dæmi eru um að fyrirtæki hér á landi hafi lenti í vandræðum vegna Conficker óværunnar.

„Milljónir véla um heim allan hafa sýkst af völdum Conficker frá því að hún lét fyrst á sér kræla á síðasta ári. Þrátt fyrir umfang óværunnar er ekki vitað hverjir standa á bak við hana þó að háar peningaupphæðir hafa verið heitið þeim sem geta komið upp um höfunda hennar. Conficker, sem er ein sú þróaðasta óværa sem sést hefur, er hönnuð af óþekktum sérfræðingum en ekki liggur fyrir hvað þeir ætla sér fyrir með þær tölvur sem hafa verið sýktar," segir Kristinn Guðjónsson sérfræðingur í upplýsingaöryggi hjá Skyggni.

Nýjasta afbrigði af Conficker, sem er það þriðja í röðinni, er uppbyggt með þeim hætti að vírusvarnir eiga erfitt með að greina óværuna. Hún kemst oft og tíðum einnig óséð fram hjá mörgum öryggisvörnum. Hins vegar er mögulegt að greina tilvist hennar m.a. með því að athuga möguleika vélarinnar til að hafa samband við þekktar síður sem Conficker lokar á eða athuga stöðu á þeim þjónustum sem óværan slekkur gjarnan á.

Einnig er hægt að nýta sér frían skanna til að athuga hvort að vélar séu sýktar (<http://iv.cs.uni-bonn.de/wg/cs/applications/containing-conficker/> eða nýjust útgáfu af NMap). Hins vegar er mikilvægt fyrir notendur að sækja reglulega uppfærslur, eða plástra, svo sem frá Microsoft og búa yfir góðum eldvegg sem stöðvar tengingar inn á vélar til að koma í veg fyrir að vélin sýkist.

„Conficker sýkir vélar með tvennum hætti; annars vegar með því að nýta sér galla í stýrikerfi og svo hins vegar með því að dreifa sér í gegnum nettengd eða utanáliggjandi drif (nýtir sér eiginleika í stýrikerfum sem keyrir hugbúnað sjálfkrafa af utanáliggjandi drifum). Eftir að óværan sýkir vélar hefur hún samskipti við aðrar vélar með tvennum hætti, annars vegar í gegnum svokallað jafningjanet (e. Peer2Peer) og svo hins vegar í gegnum venjulega vefumferð í því markmiði að sækja uppfærslur af nýjustu útgáfu óværunnar eða annan hugbúnað til að keyra á sýktum velum," segir Kristinn.

Conficker vaknar að hluta til lífsins þann 1. apríl, en það er dagurinn sem óværan fer að hafa samskipti við vefþjóna af handahófi til að sækja hugbúnað til að keyra. Óværan hefur samt sem áður getað haft samskipti í gegnum jafninganet hingað til og því ekki um mikla breytingu að ræða. Ekki er ljóst hvað vírusinn mun gera 1. apríl en hingað til hafa sýktar vélar einungis uppfært tímastimpil og lagst svo í dvala á ný. Því er ekki ljóst í hvaða tilgangi vélarnar hafa verið sýktar, hvort það sé til þess að senda ruslpóst, undirbúa netárás eða safna persónuupplýsingum um netnotendur.

Kristinn segir nokkur dæmi um að vírusinn hafi herjað á tölvur hér á landi, svo sem hjá fyrirtækjum, með þeim afleiðingum að netdrif þeirra hafa legið niðri og aðgangar starfsmanna að tölvum verið óvirkur. „Erfitt er að greina og hreinsa vírusinn því samskiptaaðferðir hans eru flóknar og dulkóðaðar að mestu leyti auk þess sem varnarkerfi vélanna eru yfirleitt gerð óvirk," að sögn Kristins.