Pesquisadores que trabalharam durante o final de semana inteiro afirmam que encontraram uma impressão digital para o worm Conficker, esperado para ser ativado no dia 1 de abril. Um scanner como prova do conceito já foi lançado.
Dam Kaminsky, em conjunto com Tillmann Werner e Felix Lede, do Honeynet Project, anunciaram nesta segunda-feira que o trio descobriu um jeito de determinar como uma máquina infectada pode ser identificada em uma rede. O crédito também foi dado a Rich Mogull, da Securosis, e o Conficker Working Group.
"O que encontramos aqui é bem legal: o Conficker na verdade muda como o Windows se parece em uma rede, e essa modificação pode ser detectada remotamente, de forma anônima e muito, muito rápida", anunciou Kaminsky em seu blog nesta segunda-feira. "Você pode literalmente perguntar a um servidor se é infectada pelo Conficker, e ele dirá a você".
O arquivo de assinatura deveria adicionar um degrau mais alto de certeza para administradores de sistema, que irão ser forçados a esperar até o dia 1 de abril para ver (caso aconteça mesmo) o que o Conficker/Downadup vai fazer. Todas as três variantes utilizam um buraco do Windows que foi consertado em outubro último - ou seja, usuários com o sistema atualizado não deveriam ser infectados.
O scanner está disponível, disse Kaminsky, apesar do aplicativo ser destinado mais para profissionais de segurança do que consumidores. Programas e scanners corporativos de antivírus deveriam já estar disponíveis.
"Os detalhes técnicos não são complicados - o Conficker, e todas as suas variantes, fazem um trabalho NetpwPathCanonicalize() de forma um pouco diferente do que qualquer versão MS08-067, com ou sem patch", adicionou Kaminsky. Tanto Werner quanto Lede planejam liberar um estudo chamado "Conheça seu inimigo" em breve, descrevendo o comportamento do worm de forma mais detalhada.
Caso você não queira se garantir nisso, pode conferir nossas sete coisas que você precisa saber sobre o Conficker.