Προσοχή νέος ιός που διαδίδεται μέσω ΙΜ : Conficker worm's copycat Neeris spreading over IM

Η μίμηση είναι πάντα μια μορφή κολακείας, και αυτό είναι παραπάνω από αλήθεια για το Ιντερνέτ. Από τους μοναχικούς Κινέζους χάκερ του κυβερνοχώρου που κυκλοφόρησαν τα DIY Tools για να παραχθούν malware που εκμεταλλεύονται τα κενά του MS08-067 και στην συνέχεια με την εμφάνιση του worm Conficker,έρχεται τώρα το MMPC (Malware Protection Center) της Microsoft (κέντρο προστασίας Malware) και γνωστοποιεί την ύπαρξη μιας παραλλαγής - απομίμηση του Conficker τον Conficker copycat Ι a( currently spreading Conficker copycat) που αυτήν την περίοδο διαδίδεται ευρέως και ανιχνεύεται ως Worm:Win32/Neeris.gen!C.

Η πιο πρόσφατη παραλλαγή Neeris που ταλαιπωρεί τους χρήστες από το 2005, μιμείται όλες τις χαρακτηριστικές τεχνικές διάδοσης του Conficker, συμπεριλαμβανομένης της εκμετάλλευσης του κενού MS08-067 και την τεχνική του AutoRun, αλλά επίσης συνεχίζει να διαδίδεται μέσω της αρχικής μεθόδου διάδοσής του - στέλνοντας δηλαδή link (συνδέσεις) χρησιμοποιώντας το MSN. Με τον Neeris copycat τώρα μέσα στο παιχνίδι της εξάπλωσης του worm, ποιες είναι οι πιθανότητες του να κερδίσει μερίδιο από την «πελατεία» του Conficker; Αρκετά απαισιόδοξες.

Ο συντάκτης του Neeris προσπάθησε να προωθήσει την εξάπλωση κάτω από την παρακολούθηση της MMPC της Microsoft που όμως εντάθηκε, με κορύφωση της εκστρατείας αντιμετώπισής του πρόσφατα κατά την 31η Μαρτίου και κατά τη διάρκεια της 1η Απριλίου, που θεωρείται σε μεγάλο ποσοστό ως η ημερομηνία ενεργοποίησης αναπροσαρμογών του Conficker (Conficker’s largely overhyped update activation date).Εντούτοις, αυτή η τακτική δεν πρόκειται να αντισταθμίσει μερικά από τα προφανή λάθη που ο συντάκτης του Neeris έκανε με την χρήση των ψευδών time stamps για το malware, και με την χρήση attachments (.exe;.scr) που εύκολα αναγνωρίζονται ως κακόβουλο λογισμικό ακόμη και από ένα μέσο χρήστη του Ιντερνέτ.

Το Copycats όχι μόνο μοιράζεται τους ίδιους τρόπους διάδοσης - μόλυνσης, αλλά μοιράζεται επίσης και τα ίδια μέσα καταπολέμησης του.

Προσαρμογή στα ελληνικά απο το άρθρο του Dancho Danchev από
την ιστοσελίδα http://blogs.zdnet.com/security/?p=3093&tag=nl.e550

April 7th, 2009

Conficker worm's copycat Neeris spreading over IM

Imitation has always been a form of flattery, and that’s particularly true for the cybercrime ecosystem. From the lone Chinese cybercriminals releasing DIY tools for generating malware actively exploiting the MS08-067 flaw, followed by the original Conficker worm, Microsoft’s MMPC (Malware Protection Center) is reporting on a currently spreading Conficker copycat detected as Worm:Win32/Neeris.gen!C.

The latest variant of Neeris which has been in the wild since 2005, is mimicking all of Conficker’s spreading techniques, including the exploitation of MS08-067 and the AutoRun spreading tactic, but is continuing to propagate through its original method - sending links over MSN. With the Neeris copycat now in the game, what are the chances that it would steal some of Conficker’s market share? Pretty pessimistic.

The Neeris author also attempted to launch the campaign beneath the radar with Microsoft’s MMPC pointing out that the peak of the campaign took place on late March 31st and during April 1st, Conficker’s largely overhyped update activation date. However, this tactic is not going to compensate for some of the obvious mistakes that the author made in the form of using bogus time stamps for the malware, and the use of easily spotted as malicious attachments (.exe;.scr) even by the average Internet user.

Copycats don’t just share the same propagation/infection vectors, they also share the same mitigation ones.

Dancho Danchev is an independent security consultant and cyber threats analyst, with extensive experience in open source intelligence gathering, malware and E-crime incident response. He's been an active security blogger since 2007, and maintains a popular security blog. See his full profile and disclosure of his industry affiliations.

Email Dancho Danchev