Conficker-ormens nye onde lillebror

De kriminelle bagmænd for den udbredte Conficker-orm har lavet en ny version, der måske varsler et skifte i den måde, ormen opererer på.

Artikel top billede

Computerworld News Service: Det var SRI International researchers, der for nogle dage siden spottede den nye variant, som har fået navnet Conficker B++, og firmaet frigav detaljerne i koden i torsdags.

For det utrænede øje ligner den nye orm stort set den gamle udgave (Conficker B), men B++ varianten bruger en anden teknik til at downloade software, og det giver dens skabere en større fleksibilitet i forhold til, hvad de kan bruge de inficerede maskiner til.

Maskiner, som er inficerede med Conficker-ormen, kan bruges til forskellige ondsindede ting, som for eksempel til at sende spam fra, til keylogging eller til denial of service (DoS) angreb, men en ad hoc gruppe, der kalder sig selv 'the Conficker Cabal', har stort set forhindret dette i at ske.

De har cracked den algoritme, som softwaren bruger til at finde de såkaldte 'rendezvous-sider' på internettet, hvorfra den kan få nye koder, og dermed har gruppen kunne holde Conficker under kontrol.

Disse rendezvous-sider benytter sig af unikke domænenavne, som for eksempel pwulrrog.org, og the Conficker Cabal har arbejdet hårdt med at finde disse sider, så de har kunne holde dem væk fra de kriminelle bagmænd.

Kirurgisk indgreb

Den nye B++ variant bruger de same algoritmer til at lede efter rendezvous-sider, men derudover har dens skabere også forsynet den med to nye teknikker, der gør, at den nu også helt kan springe over disse sider. Det betyder, at anti-Conficker-gruppens mest succesfulde strategi hidtil nu kan blive virkningsløs.

Conficker-ormen blev skrevet om i december, da B-varianten blev frigivet. Den nye omskrivning er ikke lige så omfattende som den, der blev lavet for to måneder siden, men kan nærmere ses som en præcisering af den tidligere udgave.

"De har lavet et slags kirurgisk indgreb," som program director for SRI Phil Porras udtrykker det.

For at sætte tingene i perspektiv: Der var 297 subrutiner i Conficker B. SRI fortæller i en rapport om den nye variant, at der er blevet tilføjet 39 nye rutiner i B++, mens tre eksisterende subrutiner er blevet modificerede. Rapporten konkluderer, at implementeringen af disse nye rutiner antyder, at skaberne bag ormen søger efter nye måder at omgå behovet for rendezvous-sider i det hele taget.

Phil Porras ved ikke, hvor længe Conficker B++ har været i cirkulation, men ifølge en anonym researcher fra siden Hostexploit.com, der har sporet ormen, dukkede den i hvert fald op til overfladen for første gang d. 6. februar.

Selv om han ikke ved, om B++ er blevet skabt som et modsvar til det arbejde, som the Conficker Cabal har udført, så fortæller 'support intelligence CEO' Rick Wesson i en e-mail, at den nye variant "i høj grad gør botnettet mere robust og i stand til at modstå en del af gruppens arbejde."

Conficker er også kendt under navnet 'Downandup', og den bruger flere forskellige teknikker til at sprede sig fra maskine til maskine. Den udnytter blandt andet en sårbarhed i windows til at angribe computere i LAN-netværk, ligesom den også kan spredes ved hjælp af USB-enheder som for eksempel kameraer eller hukommelsesstik.

SRI oplyser, at de forskellige Conficker-varianter nu tilsammen har inficeret omkring 10.500.000 computere.

Oversat af Marie Dyekjær Eriksen

Event: Cyber Security Festival 2026

Sikkerhed | København

Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

18 & 19 november 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S

Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

Jonas Kyhnau

Pentos

Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

Kari Lehtimäki

Den danske eID-virksomhed Idura

IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S