De Conficker-worm komt dan toch tot leven. Volgens beveiliger Trend Micro is het virus zichzelf aan het updaten via een p2p-verbinding tussen de besmette computers. Tegelijk downloadt het ook nieuwe, voorlopig onbekende data.
Onderzoekers analyseren de code die wordt binnengehaald op geïnfecteerde computers. Ze vermoeden dat het gaat om een programma dat toetsaanslagen bijhoudt. Op die manier is het mogelijk om gevoelige informatie te stelen.
Een .sys-component verstopt zich achter een rootkit. Hiermee kan het virus volgens Trend Micro verbergen dat de computer is besmet. De onderzoekers van het bedrijf hebben moeite met hun analyse, want alles is zwaar geëncrypteerd.
De worm probeert ook verbinding te maken met Myspace.com, Msn.com, Ebay.com, Cnn.com en Aol.com. Het achterhaalt of er een actieve verbinding is. Volgens de Trendlabs Malware Blog zal het achteraf alle sporen op de besmette computer uitwissen en legt het zichzelf stil op 3 mei.
Besmette computers blijven veiligheidsrisico
Dat Conficker dit van plan is, vormt echter geen veiligheidsgarantie. “Na 3 mei schakelt het zichzelf uit en kopieert het zichzelf niet meer”, zegt David Perry, hoofd security education bij Trend Micro. “Toch kunnen geïnfecteerde computers nog steeds van op afstand bediend worden voor andere zaken.”
Vorige week verwachtten securityexperts wereldwijd dat Conficker zich zou activeren op 1 april. Die verrassing bleef echter uit. Bij de nieuwste ontdekking dacht men aanvankelijk aan een nieuwe variant, maar het blijkt te gaan om een nieuwe component van de worm.
Het virus verspreidt zich via een lek in Windows dat Microsoft in oktober al heeft gepatcht. Ook via draagbare media zoals usb-sticks en netwerken met zwakke wachtwoorden zoekt Conficker zijn weg naar nieuwe slachtoffers. Volgens Perry wordt het aantal besmette computers wereldwijd geschat op drie tot twaalf miljoen.
Is jouw computer besmet met Conficker?
Omdat de worm virusscanners uitschakelt en de toegang naar beveiligingssites blokkeert, is het soms moeilijk om de infectie te ontdekken. Daarom kan je zowel op Confickerworkinggroep.org als bij de Duitse universiteit van Bonn een snelle online test doen om te kijken of je machine besmet is.
Met een bijdrage van CNet
