O idee ingenioasa le-a venit specialistilor in securitate care au actualizat un tool gratuit folosit pentru a detecta viermele Conficker de pe PC-urile infectate, utilizand acelasi protocol peer-to-peer (P2P) pe care se bazeaza malware-ul pentru a comunica cu hackerii care il controleaza.
Echipa de specialisti de la Symatec Corp. lucreaza impreuna cu Ron Bowes, unul dintre cercetatorii care a contribuit la scannerul Nmap, pentru a gasi un mod de a detecta masinile infectate cu Conficker.c si veriunile ulterioare.
Conficker, care a explodat pe internet in luna ianuarie, a avut mai multe update-uri de la debutul sau din luna noiembrie 2008. Conficker.c a atras cel mai mult atentia datorita unei presupuse actualizari pe data de 1 aprilie, cand s-a presupus ca va trece pe o noua schema de comunicatii. Cateva zile mai tarziu, computerele infectate cu Conficker.c au fost upgradate la cea mai noua versiune, Conficker.e, care in schimb a instalat spam bot-ul Waldec si un software “scareware”, un fals program de securitate care oboseste utilizatorii cu false alerte de infectie, pana cand acestia platesc 50$ pentru o aplicatie total inutila.
“Scriptul lui Bowes cauta porturile P2P ale Conficker”, a spus Alfred Huger, vice president al Symatec security response group, “apoi incearca sa comunice cu ele. Daca acestea raspund, scriptul cauta raspusurile. Noi l-am ajutat sa stabileasca tipurile de raspunsuri primite de la bot-urile Conficker”.
Pe blog-ul sau, Bowes a mai avertizat ca scriptul nu este 100% de incredere, spunand ca firewall-urile si filtrele port ar putea impiedica detectia, iar PC-urile setate sa blocheze porturile Windows ar putea stopa scannerul.