Conficker tehdidi unutulmuş olabilir ama hala devam ediyor

December 18, 2009 yazan ErtanKurt

Conficker kontrol altında olabilir fakat ailesinin diğer üyeleri dünya çapında 6.5 milyon bilgisayara yerleşmiş durumda ve bazı ağların Internet adreslerinin %5'inden fazlası bulaşma işaretleri gösteriyor.

Çarşamba günü ShadowServer Foundation detaylı istatistikler ile Conficker'ın 3 farklı varyantının ne kadar çok yayıldığını ve dünyadaki ağlara ne derece bulaştığını yayınladı. 12,000 den fazla ağ (ASN - otonom sistem numaraları ile gösteriliyor) Conficker bulaşma işaretleri gösteriyor. Raporda gösterilen veriler ilk 500 ağ olacak şekilde sınırlanmış.

ShadowServer Foundation kurucusu Andre DiMino "Esas amacımız Conficker'ın ne kadar geniş çapta yayıldığını göstermekti" diyor.

Gönüllü araştırmacılardan oluşan ve bu sene Conficker Working Group'un kurulmasına yardımcı olan ekip üye kuruluşlarından verileri toplamış.

ShadowServer verileri Conficker'ı iki sınıfta grupluyor. Conficker A+B kötü amaçlı yazılımın otomatik yayılmayı deneyen ilk iki varyantından oluşuyor. Mart ayında çıkan bir varyant olan Conficker C güncellenmedikçe yayılamıyacak durumda. Toplamda Conficker A+B bulaşma belirtileri gösteren Internet adresleri sayısı artıyor fakat Conficer C belirtileri gösterenler azalıyor.

Veriler, Çin gibi büyük ülkelerin daha fazla Conficker-bulaşmış makineye sahip olduğunu gösteriyor fakat ülkenin en geniş ağının sadece yüzde 1 lik kesimi bulaşma belirtileri gösteriyor. Diğer taraftan Vietnam, Endonezya ve Ukrayna gibi ülkelerdeki geniş ağların %5'lik bölümünden fazlası bulaşma belirtileri gösteriyor.

Aynı zamanda Downadup ve Kido olarak da bilinen Conficker Internet'te yayılma başarısıyla pek çok güvenlik uzmanını şaşırttı. İlk Kasım 2008'de keşfinde başlangıçta Microsoft Windows'daki bir açığı kullanarak yayıldı ve güncellemelerini kontrol için 250 rastgele alan adı ile kontak kurdu. Nisan ayında peer-to-peer bağlantılar kuran bir botnet'e dönüştü fakat otomatik yayılmayı bıraktı. Yazılımın ilk sürümleri 250 rastgele alan adına bakıyordu fakat en son sürüm her gün 50,000 rastgele alan adı yaratıyor ve güncellemeler için 500'ü ile kontak kuruyor.

Bu yılın başlarından beri Conficker çalışma grubu yazılım kendisini güncellemesini engelleyebilmek için alan adlarını önceden kayıt ettirdi.

IBM'in X-Force ekibinde araştırmacı olan Tom Cross "Her gün güvenlik firmaları alan adı kaydettirmek için zaman ve para harcıyorlar. Bunu başkalarını düşündükleri için yapıyorlar. Eğer bunu kimse umursamaz ve bu alan adlarını kayıt ettirmezlerse o zaman bot sahipleri tekrar botnet'i kullanmaya başlayabilir" diyor.

DiMino 6.5 milyon sisteme bulaşmasının yanında Conficker geniş çapta zaptedilmiş durumda olduğunu belirtiyor. Ekim ayı başlarında bulaşma belirtileri gösteren IP adresleri sayısı 7 milyonu bulmuştu, o zamandan beri düşüyor. Bazı ülkeler - brezilya gibi - etkilenen makinaları bulup temizlemeye odaklanıyor. ShadowServer verileri ülkenin biraz başarılı olduğunu gösteriyor.

DiMino "Herkes Brezilya'yı (Conficker trafiğinin ana kaynaklarından biri olarak) konuşuyor fakat onlar bunu azaltmak için çok sıkı çalışıyorlar" diyor.

ShadowServer kendileriyle bağlantı kuran tüm ağ operatörlerine detaylı raporu ücretsiz verecek. Rapor Conficker trafiği görülen spesifik IP adreslerini listeliyor.

Ref: http://www.shadowserver.org/wiki/pmwiki.php/Stats/Conficker
Ref: http://www.securityfocus.com/news/11568

Permalink