В марте 2009 года сайты пострадают от побочных эффектов Conficker

image

Теги: Conficker, ботнет, Sophos, DDoS

Sophos предупреждают владельцев сайтов о том, что Conficker может неумышленно помешать их нормальной работе. Часть посетителей могут не попасть на эти сайты из-за того, что домены будут заблокированы DNS-серверами, также эти сайты могут испытать проблемы с доступом по типу DDoS-атаки.

Компьютер, зараженный червём Conficker/Downadup, скоро начнёт бомбардировать своими запросами легальные серверы. Причина этого кроется в особенностях алгоритма, генерирующего каждый день по 250 доменных имён, с которыми зараженные машины пытаются связываться для получения возможных инструкций, сообщается в блоге компании Sophos.

Компании, занимающиеся информационной безопасностью, давно уже расшифровали этот алгоритм. Это позволяет заранее определить, в какие домены Conficker будет стучаться, и принять те или иные меры защиты. Например, можно воспользоваться сервисом OpenDNS, который автоматически блокирует доступ к таким доменам.

Однако, как выяснили в Sophos, многие такие домены уже существуют в природе. Из 7750 доменов, к которым Conficker будет обращаться в марте, почти 3900 являлись активными на момент исследования (конец февраля). Правда, за этими тысячами доменов скрывается лишь 42 уникальных IP-адреса. К тому же, часть доменов была зарегистрирована как раз с целью противодействовать Conficker , так что круг легальных серверов, которых затронут действия зараженных компьютеров, сужается до 28 штук.

Многие из этих доменов в настоящее время выставлены на продажу, однако некоторые являются действующими, и в Sophos предупреждают их владельцев о том, что Conficker может неумышленно помешать их нормальной работе. Часть посетителей могут не попасть на эти сайты из-за того, что домены будут заблокированы DNS-серверами. С другой стороны, учитывая нынешние размеры потенциального ботнета (по некоторым оценкам, порядка 10 миллионов зараженных компьютеров) эти сайты могут испытать проблемы с доступом по типу DDoS-атаки.

Sophos приводит наиболее посещаемые из этих сайтов: jogli.com (музыкальный сайт), wnsux.com (один из сайтов авиакомпании Southwest Airlines), qhflh.com (женский сайт в Китае) и praat.org (фонетическая программа Praat), от которых миллионы компьютеров начнут требовать инструкций соответственно 8, 13, 18 и 31 марта. Специалисты по безопасности рассказывают владельцам этих ресурсов о способах противодействия  Conficker. Например, предлагается установить фильтрацию запросов определённого вида.



comments powered by Disqus