Den sidste måned har stået i Downadups tegn. For første gang i flere år har en orm inficeret millioner af pc'er på internettet.
Hvor effektiv ormen har været, er usikkert.
Antivirusfirmaet F-Secure har anslået, at godt ti millioner pc'er er ramt. Andre sætter tallet lavere.
Under alle omstændigheder er Downadup, som Microsoft kalder Conficker, særdeles effektiv.
Det skyldes, at den anvender flere metoder til både den første infektion og den efterfølgende hentning af kode.
Downadup spreder sig på tre måder. For det første udnytter ormen en sårbarhed i Windows' RPC-tjeneste (Remote Procedure Call). Microsoft udsendte en ekstraordinær rettelse i oktober (sikkerhedsbulletin MS08-067), der lukker sikkerhedshullet.
Infektionen sker ved, at ormen prøver at forbinde sig til RPC-tjenesten på den anden pc. Hvis det lykkes, kører der et program, som får pc'en til at forbinde sig til en port på den inficerende pc. Over denne forbindelse overføres ormeprogrammet til det nye offer.
Angriber over lokalnet
Infektion via MS08-067 er især effektiv til at ramme computere via internettet.
De to andre metoder er mere egnede til at inficere flere computere på et lokalnet, efter at en enkelt pc er blevet ramt.
Downadup forsøger at forbinde sig til andre pc'er på lokalnettet. Den henter en liste over brugernavne og afprøver dem derefter sammen med en liste over passwords.
Hvis det lykkes den at logge ind, kopierer den sig selv over på den anden pc.
Endelig kopierer den sig til drev, der er udstyret med et drev-bogstav. Her sørger den for også at placere en Autorun-fil.
Hvis drevet er et flytbart USB-drev, vil programmet automatisk blive kørt, når det sættes i en pc, hvor Autorun i Windows er slået til.
Kan hente software
Men hvad skal det hele til for? Foreløbig har ormen udelukkende set ud til at være interesseret i at sprede sig.
Den har imidlertid en indbygget funktion til at hente yderligere skadelige programmer.
Faktisk har den to.
Den ene funktion downloader programkode fra servere med domænenavne, som ormen konstruerer ud fra en algoritme.
Den anden funktion bygger på peer-to-peer-teknologi. Når en pc inficeres via MS08-067-sårbarheden, sørger Downadup for at lukke sikkerhedshullet.
På den måde sikrer den, at andre orme ikke overtager pc'en.
Men hullet lukkes ikke mere grundigt, end at ormen overvåger forsøg på at udnytte det.
Hvis den opdager, at en anden pc forsøger at inficere pc'en med Downadup på ny, opretter den forbindelse til pc'en. Herefter kan ormen hente skadelige programmer fra den.
Ifølge en analyse fra Symantec har Downadup en indbygget mekanisme til at sikre, at den kun henter software, som dens bagmænd har sagt god for.
Andre kan altså ikke udnytte den til at installere programmer på de pc'er, den har inficeret.
Tilpasser sig
En af årsagerne til Downadups store udbredelse er, at dens udviklere har gjort den fleksibel.
Angrebet på sårbarheden skal således laves lidt forskelligt alt efter Windows-version og -sprog.
Kina har været det land, der har været hårdest ramt.
Det kan hænge sammen med, at når ormen kører på en kinesisk pc, forsøger den ikke at regne ud, hvilket sprog den pc anvender, som den prøver at angribe.
I stedet antager den altid, at det er kinesisk. Den metode har åbenbart været effektiv.
En anden årsag kan være, at der er mange piratkopier i Kina, og dermed er det mere sandsynligt, at pc'erne ikke har slået automatiske opdateringer til.
Den første udgave af ormen indeholdt et tjek, der hindrede den i at inficere pc'er, der var sat op til at bruge ukrainsk tastatur. Så man kan gætte på, at bagmændene er fra Ukraine.
Dette tjek er dog fjernet i den nyeste version.
Hvad vil den?
Takket være en stor indsats fra sikkerhedsfirmaer og andre forskere ved vi i dag rigtig meget om, hvordan Downadup/Conficker virker.
Men vi ved stadig ikke, hvorfor den er udviklet.
Måske vil bagmændene udsende programkode, der gør hver inficeret pc til del i et botnet, som de kan fjernstyre.
Måske vil de skræmme ofrene med oplysninger om, at deres pc er inficeret - og med et tilhørende tilbud om at købe et antivirusprogram til at fjerne infektionen med.
Ifølge Symantec ligner koden noget, man tidligere har set fra firmaer, som laver den slags falske sikkerhedsprogrammer.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.
I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
