Армия компьютеров, зараженных червём Conficker/Downadup, скоро начнёт
бомбардировать своими запросами легальные серверы — правда, ненамеренно. Причина
— в особенностях алгоритма, генерирующего каждый день по 250 доменных имён, с
которыми зараженные машины пытаются связываться для получения возможных
инструкций, сообщается в блоге компании Sophos.

Все серьёзные компании, подвизавшиеся на ниве киберзащиты, уже давно
расшифровали этот алгоритм, и Sophos здесь не исключение. Это позволяет заранее
определить, в какие домены Conficker будет стучаться, и принять те или иные
защитные меры. Например, можно воспользоваться сервисом OpenDNS, который
автоматически блокирует доступ к таким доменам.

Однако, как выяснили в Sophos, многие такие домены уже существуют в природе.
Так, из 7750 доменов, к которым Conficker будет обращаться в марте, почти 3900
являлись активными на момент исследования (конец февраля). Правда, за этими
тысячами доменов скрывается лишь 42 уникальных IP-адреса. К тому же, часть
доменов была зарегистрирована как раз с целью противодействовать "Конфикеру",
так что круг легальных серверов, которых затронут действия зараженных
компьютеров, сужается до 28 штук.

Многие из этих доменов в настоящее время выставлены на продажу, однако
некоторые являются действующими, и в Sophos предупреждают их владельцев о том,
что Conficker может неумышленно помешать их нормальной работе. Во-первых, часть
посетителей могут не попасть на эти сайты из-за того, что домены будут
заблокированы DNS-серверами. А во-вторых, учитывая нынешние размеры
потенциального ботнета — а это, по некоторым оценкам, порядка 10 миллионов
зараженных компьютеров, — эти сайты могут испытать проблемы с доступом по типу
DDoS-атаки.

В Sophos приводят наиболее посещаемые из этих сайтов: jogli.com (музыкальный
сайт), wnsux.com (один из сайтов авиакомпании Southwest Airlines), qhflh.com
(женский сайт в Китае) и praat.org (фонетическая программа Praat), от которых
миллионы компьютеров начнут требовать инструкций соответственно 8, 13, 18 и 31
марта. Также специалисты по безопасности указывают владельцам этих ресурсов
способы противодействия "Конфикеру" — например, фильтрация запросов
определённого вида.



Оставить мнение